r   e   k   l   a   m   a
r   e   k   l   a   m   a

Uważaj na załączniki: nowa mutacja trojana Agent sprawnie omija antywirusy

Strona główna AktualnościBEZPIECZEŃSTWO

Nie ma dnia bez nowych próbek złośliwego oprogramowania. Szczęśliwie w zdecydowanej większości są szybko wychwytywane przez oprogramowanie antywirusowe. Dzisiaj rano dostaliśmy jednak w redakcyjnej poczcie szkodnika, który gładko przeszedł przez praktycznie wszystkie programy antywirusowe. Biorąc pod uwagę skłonność internautów do klikania we wszystko, co wygląda na korespondencję urzędową, tym razem zagrożenie jest poważne.

E-mail wygląda przyzwoicie – niejaka Krajowa Administracja Skarbowa przesyła „fakturę 13/11/2017” – jak na listopad, to dobry numer. W środku załącznik w archiwum zip, i kilka słów poprawną polszczyzną – Jakub Kowalski prosi o dołączenie faktury i pozdrawia. Miliony takich wiadomości krążą między firmami i urzędami.

Kliknięcie załącznika w Windowsie rozpakowuje go, a próba otworzenia dokumentu uruchamia domyślną przeglądarkę systemową. Reakcja antywirusa? Żadna. Nawet świetny program Kasperskiego dał się podejść, uznając że plik o nazwie deklaracja (6).js jest bezpieczny. W rzeczywistości jednak mamy do czynienia z nową mutacją trojana z rodziny Agent (JS.Trojan-Downloader.Agent.yq).

r   e   k   l   a   m   a

Po uruchomieniu w systemie, trojan pobrał z Internetu i zainstalował sniffera Win32/Ursnif, który zmienił zawartość Rejestru, ustawienia firewalla i zaczął rozmawiać z serwerami z chińskiego Internetu – najwyraźniej czekając na jakieś ciekawe dane, takie jak loginy i hasła użytkownika. To, że w Windowsie 10 działał Defender, włączona była ochrona przed exploitami, najwyraźniej nie czyniło żadnej różnicy.

Obecnie serwis Virus Total informuje, że jedynie dwa silniki antywirusowe rozpoznają nową mutację Agenta – Baidu (co ładnie koreluje z rozmowami z chińskimi serwerami) oraz Fortinet. Prosimy więc o zachowanie najwyższej ostrożności przy przeglądaniu jakichkolwiek załączników do e-maili, szczególnie jeśli pochodzą z nieznanych nam źródeł.

Klasyczne hasło o aktualnym systemie i aktualnym antywirusie tym razem sobie podarujemy, zarażony system był przecież świeżutkim Windowsem 10. Zapewne jutro antywirusy będą już wykrywały co trzeba, jednak jutro dla wielu może być za późno.

Szkodniki udało się usunąć z systemu za pomocą narzędzia Malwarebytes.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.