Крупнейшая в мире спам-сеть научилась обходить сканеры вредоносного ПО

Безопасность Стратегия безопасности Пользователю
мобильная версия
, Текст: Роман Георгиев
Крупнейший в мире спам-ботнет Necurs упростил тактику распространения вредоносных программ, в результате чего получил способность обходить сканеры вредоносного ПО, реализованные на почтовых сервисах.

Путем упрощений

Крупнейший в мире спам-ботнет Necurs изменил тактику распространения вредоносных программ. Новая методика позволит обходить сканеры вредоносного ПО, реализованные на почтовых сервисах. По крайней мере, в течение какого-то времени.

Новая методика сама по себе не представляет собой ничего особенно оригинального: многие хакерские группировки использовали ее прежде. Но не Necurs - характерной особенностью этого ботнета всегда были замысловатые, многоступенчатые схемы заражения. Теперь же все куда проще: злоумышленники распространяют со спамерскими сообщениями ZIP-архивы, внутри которых скрывается файл с расширением .URL. Такой файл автоматически открывает вписанную в него гиперссылку в браузере, заданном по умолчанию.

Файлы .URL могут снабжаться произвольной иконкой, и в данном случае используются стандартные графические изображения папок Windows - для дополнительной маскировки. Впрочем, такая маскировка не особенно эффективна, поскольку помимо изображения папки на иконке присутствует еще и стрелка (индикатор ссылки).

Если такое изображение встречается в почтовых вложениях, это со 100% гарантией вредоносная программа.

necurs500.jpg
Замаскированные вредоносные ссылки в почтовом вложении рассылки Necurs

Ссылка внутри файла ведет на удаленный скрипт, который скачивает и запускает основную вредоносную «начинку» - загрузчик Quant Loader, который сам по себе никакого вреда не причиняет, но способен втихаря скачивать и устанавливать другие, действительно опасные программы.

Обойти сканеры

До самого последнего времени Necurs использовал различные схемы заражений, в основном многоступенчатые. Во вложениях распространялись архивы (иногда двойные) с файлами WSF, JS, VBS, документами Microsoft Office с вредоносными макросами или эксплойтами к известным уязвимостям, и так далее.

Все эти меры злоумышленники применяли для того, чтобы максимально затруднить обнаружение автоматическими средствами - в первую очередь, антивирусными сканерами электронной почты.

«Такие сканеры в большинстве случаев используют политики - наборы правил, - сформированные специалистами по безопасности и системными администраторами вручную, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - В этом смысле, смена формата распространения вредоносных программ - это игра в кошки-мышки: политики безопасности обновятся, и через несколько дней «новый» метод заражения через .URL-файлы перестанет работать. Однако достаточно будет малозначительных изменений, и политики придется донастраивать снова. А пока политики не работают, могут происходить новые заражения.

Единственный гарантированный способ защититься для конечных пользователей, это не открывать заархивированные вложения, поступающие из непроверенных источников, и никогда не открывать .URL-файлы из вложений».