Nowa mutacja trojana Agent omija antywirusy

Nie ma dnia bez nowych próbek złośliwego oprogramowania. Szczęśliwie w zdecydowanej większości są szybko wychwytywane przez oprogramowanie antywirusowe. Dzisiaj rano dostaliśmy jednak w redakcyjnej poczcie szkodnika, który gładko przeszedł przez praktycznie wszystkie programy antywirusowe. Biorąc pod uwagę skłonność internautów do klikania we wszystko, co wygląda na korespondencję urzędową, tym razem zagrożenie jest poważne.

E-mail wygląda przyzwoicie – niejaka Krajowa Administracja Skarbowa przesyła „fakturę 13/11/2017” – jak na listopad, to dobry numer. W środku załącznik w archiwum zip, i kilka słów poprawną polszczyzną – Jakub Kowalski prosi o dołączenie faktury i pozdrawia. Miliony takich wiadomości krążą między firmami i urzędami.

Kliknięcie załącznika w Windowsie rozpakowuje go, a próba otworzenia dokumentu uruchamia domyślną przeglądarkę systemową. Reakcja antywirusa? Żadna. Nawet świetny program Kasperskiego dał się podejść, uznając że plik o nazwie deklaracja (6).js jest bezpieczny. W rzeczywistości jednak mamy do czynienia z nową mutacją trojana z rodziny Agent (JS.Trojan-Downloader.Agent.yq).

Po uruchomieniu w systemie, trojan pobrał z Internetu i zainstalował sniffera Win32/Ursnif, który zmienił zawartość Rejestru, ustawienia firewalla i zaczął rozmawiać z serwerami z chińskiego Internetu – najwyraźniej czekając na jakieś ciekawe dane, takie jak loginy i hasła użytkownika. To, że w Windowsie 10 działał Defender, włączona była ochrona przed exploitami, najwyraźniej nie czyniło żadnej różnicy.

Obecnie serwis Virus Total informuje, że jedynie dwa silniki antywirusowe rozpoznają nową mutację Agenta – Baidu (co ładnie koreluje z rozmowami z chińskimi serwerami) oraz Fortinet. Prosimy więc o zachowanie najwyższej ostrożności przy przeglądaniu jakichkolwiek załączników do e-maili, szczególnie jeśli pochodzą z nieznanych nam źródeł.

Klasyczne hasło o aktualnym systemie i aktualnym antywirusie tym razem sobie podarujemy, zarażony system był przecież świeżutkim Windowsem 10. Zapewne jutro antywirusy będą już wykrywały co trzeba, jednak jutro dla wielu może być za późno.

źródło: dobreprogramy.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *