E-mail wygląda przyzwoicie – niejaka Krajowa AdministracjaSkarbowa przesyła „fakturę 13/11/2017” – jak na listopad, todobry numer. W środku załącznik w archiwum zip, i kilka słówpoprawną polszczyzną – Jakub Kowalski prosi o dołączeniefaktury i pozdrawia. Miliony takich wiadomości krążą międzyfirmami i urzędami.
Kliknięcie załącznika w Windowsie rozpakowuje go, a próbaotworzenia dokumentu uruchamia domyślną przeglądarkę systemową.Reakcja antywirusa? Żadna. Nawet świetny program Kasperskiego dałsię podejść, uznając że plik o nazwie deklaracja (6).js jestbezpieczny. W rzeczywistości jednak mamy do czynienia z nowąmutacją trojana z rodziny Agent (JS.Trojan-Downloader.Agent.yq).
Po uruchomieniu w systemie, trojan pobrał z Internetu izainstalował sniffera Win32/Ursnif, który zmieniłzawartość Rejestru, ustawienia firewalla i zacząłrozmawiać z serwerami z chińskiego Internetu – najwyraźniejczekając na jakieś ciekawe dane, takie jak loginy i hasłaużytkownika. To, że w Windowsie 10 działał Defender, włączonabyła ochrona przed exploitami, najwyraźniej nie czyniło żadnejróżnicy.
Obecnie serwis Virus Total informuje, że jedynie dwa silnikiantywirusowe rozpoznają nową mutację Agenta – Baidu (co ładniekoreluje z rozmowami z chińskimi serwerami) oraz Fortinet. Prosimywięc o zachowanie najwyższej ostrożności przy przeglądaniujakichkolwiek załączników do e-maili, szczególnie jeśli pochodząz nieznanych nam źródeł.
Klasyczne hasło o aktualnym systemie i aktualnym antywirusie tymrazem sobie podarujemy, zarażony system był przecież świeżutkimWindowsem 10. Zapewne jutro antywirusy będą już wykrywały cotrzeba, jednak jutro dla wielu może być za późno.
Szkodniki udało się usunąć z systemu za pomocą narzędzia Malwarebytes.