Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Приключения одного вложения

Прочитали: 1362 Комментариев: 107 Рейтинг: 100

Солнечный летний день, отличное настроение. Почтовый ящик ломится от деловой переписки. Внезапно взгляд выхватывает любопытный заголовок: «Скан»… Интересно, посмотрим:

#drweb

Отправитель письма – незнакомый, во вложении – файл. Само сообщение гласит: «Здравствуйте, скидываю счет-фактуру. Не получается дозвониться до вас». Красота, да и только! Кстати, пока автор этого выпуска изучал первое письмо, прилетело второе, почти такое же.

#drweb

Ну что, поиграем? Посмотрим, что там у нас во вложении.

Сохраняем прикрепленный файл на диск, и… Dr.Web Security Space его тут же удаляет. Хорошо, проявим упорство – мы же исследователи. Нарушим правила, отключим антивирус и сохраним вложение еще раз.

#drweb

Файл представляет собой весьма экзотический LZH-архив, который, впрочем, распаковывается большинством архиваторов. Видимо, ставка делалась на то, что почтовый антивирус не сможет заглянуть в нестандартный архив и пропустит его.

Что же внутри? Файл «скан от 19 июня.scr». Знаете, что такое SCR? Это формат файла хранителей экрана, или, как их еще называют, заставок Windows. Казалось бы, странный выбор, но нет. Расчет злоумышленников вот каков. По сути SCR – это обычный исполняемый файл. Если кликнуть по нему, он запустится, как любой EXE-шник. Только вот EXE-файл под видом документа сразу вызывает подозрения, а SCR можно и не заметить.

Но что же делать дальше? Не запускать же этот файл на своей машине.

Решение есть, ведь совсем недавно появился наш новый сервис Dr.Web vxCube – виртуальная криминалистическая лаборатория для анализа угроз. Давайте устроим сервису боевое крещение и посмотрим, на что он способен.

#drweb

Загружаем наш подозрительный SCR-файл через веб-форму и отправляем его на анализ. Теперь у нас есть пара минут на кофе.

Готово! Что тут у нас? Да, файл определенно вредоносный:

#drweb

#drweb

Теперь понятно, что перед нами – троянец, который как минимум обладает функционалом стилера и умеет красть пароли и прочую конфиденциальную информацию. Он распаковывается в системе, прописывает себя в автозагрузку и внедряется в системный процесс svchost.exe:

#drweb

Затем троянец удаляет свой загрузчик (тот самый SCR-файл), подгружает необходимые модули и начинает собирать сохраненные пароли и информацию о системе. Всего за несколько секунд наш подопытный прошелся по всем потенциально интересным местам в поисках реквизитов доступа к популярным FTP, почтовым клиентам и аккаунтам Microsoft, покопался в сохраненных паролях из браузеров, заодно прихватив историю просмотра веб-страниц, и попытался загрузить полученный дамп на удаленное файловое хранилище.

Параллельно с этим троянец попытался связаться со своими управляющими серверами, расположенными в США, Нидерландах и Новой Зеландии.

#drweb

Таким образом, если бы мы легкомысленно запустили вложение из письма на своем компьютере, то наши пароли продавались бы сейчас на одном из сетевых мошеннических форумов. Например, на таком:

#drweb

Мы детально пронализировали вредоносный файл, который оказался представителем семейства троянцев Dimnie.

Появившийся в 2014 году Dimnie изначально являлся классическим шпионом, но со временем оброс дополнительными модулями и научился красть деньги со счетов юридических лиц, подменяя платежные поручения в популярных бухгалтерских приложениях, что сделало его опасным банковским троянцем.

#почта #Dr.Web_vxCube #троянец

Dr.Web рекомендует

Постоянные читатели проекта «Антивирусная ПравДА!» знают, что не следует запускать файлы, полученные в письмах от незнакомых людей. Благодаря Dr.Web vxCube мы смогли продемонстрировать, как именно злоумышленники пытаются добраться до ваших данных. Думаете, это все, на что способен Dr.Web vxCube? Вовсе нет. По итогам анализа вредоносного файла сервис создает индивидуальную сборку лечащей утилиты Dr.Web CureIt!, которая поможет справиться с заражением даже в том случае, если ваш антивирус ничего не находит.

#drweb

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: