Uważaj na załączniki: nowa mutacja trojana Agent sprawnie omija antywirusy

Strona głównaUważaj na załączniki: nowa mutacja trojana Agent sprawnie omija antywirusy
27.11.2017 11:30
Uważaj na załączniki: nowa mutacja trojana Agent sprawnie omija antywirusy

Nie ma dnia bez nowych próbek złośliwego oprogramowania.Szczęśliwie w zdecydowanej większości są szybko wychwytywaneprzez oprogramowanie antywirusowe. Dzisiaj rano dostaliśmy jednak wredakcyjnej poczcie szkodnika, który gładko przeszedł przezpraktycznie wszystkie programy antywirusowe. Biorąc pod uwagęskłonność internautów do klikania we wszystko, co wygląda nakorespondencję urzędową, tym razem zagrożenie jest poważne.

bEDpOncl

E-mail wygląda przyzwoicie – niejaka Krajowa AdministracjaSkarbowa przesyła „fakturę 13/11/2017” – jak na listopad, todobry numer. W środku załącznik w archiwum zip, i kilka słówpoprawną polszczyzną – Jakub Kowalski prosi o dołączeniefaktury i pozdrawia. Miliony takich wiadomości krążą międzyfirmami i urzędami.

350207105950836673

Kliknięcie załącznika w Windowsie rozpakowuje go, a próbaotworzenia dokumentu uruchamia domyślną przeglądarkę systemową.Reakcja antywirusa? Żadna. Nawet świetny program Kasperskiego dałsię podejść, uznając że plik o nazwie deklaracja (6).js jestbezpieczny. W rzeczywistości jednak mamy do czynienia z nowąmutacją trojana z rodziny Agent (JS.Trojan-Downloader.Agent.yq).

bEDpOncn

Po uruchomieniu w systemie, trojan pobrał z Internetu izainstalował sniffera Win32/Ursnif, który zmieniłzawartość Rejestru, ustawienia firewalla i zacząłrozmawiać z serwerami z chińskiego Internetu – najwyraźniejczekając na jakieś ciekawe dane, takie jak loginy i hasłaużytkownika. To, że w Windowsie 10 działał Defender, włączonabyła ochrona przed exploitami, najwyraźniej nie czyniło żadnejróżnicy.

350207105951033281

Obecnie serwis Virus Total informuje, że jedynie dwa silnikiantywirusowe rozpoznają nową mutację Agenta – Baidu (co ładniekoreluje z rozmowami z chińskimi serwerami) oraz Fortinet. Prosimywięc o zachowanie najwyższej ostrożności przy przeglądaniujakichkolwiek załączników do e-maili, szczególnie jeśli pochodząz nieznanych nam źródeł.

Klasyczne hasło o aktualnym systemie i aktualnym antywirusie tymrazem sobie podarujemy, zarażony system był przecież świeżutkimWindowsem 10. Zapewne jutro antywirusy będą już wykrywały cotrzeba, jednak jutro dla wielu może być za późno.

bEDpOnct

Szkodniki udało się usunąć z systemu za pomocą narzędzia Malwarebytes.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bEDpOndj