Руткит Necurs, созданный более двух лет назад, начал активно использоваться злоумышленниками в ноябре 2012 года. Специалисты из Центра защиты от зловредов Microsoft (Malware Protection Center) предупреждают об угрозе. Они говорят, что в ноябре 2012 года было зарегистрировано аж 83 427 компьютеров, инфицированных этим руткитом.

Necurs распространяется через загрузки drive-by и может попасть в систему с любого сайта. Установка руткита осуществляется с помощью эксплойт-паков вроде Blackhole, используя любую из имеющихся уязвимостей в браузере, плагине Java, Adobe Flash и т.д. Естественно, руткит поражает только компьютеры с операционной системой Windows.

После установки Necurs блокирует работу антивирусных программ, загружает дополнительное вредоносное ПО, фильтрует интернет-трафик и рассылает спам. Кроме того, программа может работать как бэкдор, предоставляя злоумышленникам полный доступ и контроль над инфицированной машиной. В общем, это довольно неприятная программа.

Специалисты Microsoft подчёркивают, что Necurs очень умело маскируется. Все его команды запускаются на исполнение только при наличии двух ключей, которые проверяются на валидность системой вроде «менеджера команд», при этом код постоянно генерирует недействительные случайные ключи. Если указан неправильный ключ, то команда не запускается. Это сделано для того, чтобы спрятать функциональность программы и осложнить врагам её анализ. Вероятно, у авторов руткита есть на руках полный список команд и соответствующих ключей, а вот у специалистов антивирусных компаний такого списка нет. Некоторые из ключей, которые удалось узнать, показаны на скриншоте.

Вероятно, авторы руткита имеют возможность выборочно задействовать определённые команды на той или иной заражённой системе.

Necurs шифрует/верифицирует трафик между клиентом и сервером, используя алгоритмы MD5 и SHA1. Специалисты говорят, что после установки руткита обнаружить его можно только с помощью анализа сетевых пакетов, потому что антивирусы в такой ситуации бесполезны.

Оставить мнение