Исследователи из компании Kahu Security сообщили об обнаружении любопытной угрозы. Сама по себе JavaScript-малварь такого рода не нова, однако эксперты пишут, что с такой серьезной обфускацией кода и столько агрессивными тактиками им приходится встречаться нечасто.

Подобную малварь наблюдают в сети с 2014 года, однако только наиболее свежие версии отличаются агрессивным поведением. Вредонс попадает на машину жертвы преимущественно посредством спама, и хотя малварь представляет собой JavaScript-файл, она выполняется не в браузере, но в Windows Script Host.

Исследователи пишут, что код малвари сильно запутан, чтобы усложнить работу аналитиков. Так, помимо обычной обфускации, злоумышленники используют закодированные символы, regex search и regex replace, условные выражения и так далее.

2016-10-08_01
Код в первозданном виде

Тем не менее, экспертам удалось разобраться в хитросплетениях кода и выяснить, что малварь копирует файл wscript.exe, переименовывает его и помещает в новую директорию внутри AppData\Roaming. Также скрипт копирует самого себя в ту же папку и использует свежую копию wscript.exe для запуска. Кроме того, малварь создает ярлык самой себя, называя его Start и помещает в директорию Startup. Присвоив ярлыку Start фейковую иконку папки, малварь заставляет пользователя думать, что это вообще не файл, а директория.

2016-10-08_05

Обосновавшись в системе, вредонос устанавливает связь с Microsoft, Google или Bing, проверяя соединение с сетью. Если все в порядке, малварь связывается с urchintelemetry.com, куда отправляют всю телеметрию зараженной машины, а также с 95.153.31.22, откуда скачивает зашифрованный файл. Данный файл – это еще один JavaScript, чья основная задача подменить домашнюю страницу в Internet Explorer, Firefox и Chrome на адрес login.hhtxnet.com, откуда происходит переадресация на сайт portalne.ws.

2016-10-08_08

Также второй скрипт использует WMI (Windows Management Instrumentation) для поиска защитных решений. Если опасность обнаружена, малварь прекращает работу с поддельным сообщением об ошибке. Хуже того, если жертва вредоноса что-то заподозрит и  попытается завершить процесс wscript.exe вручную, скрипт немедленно прибегнет к помощи специальной команды и попросту выключит компьютер вовсе. После повторного включения ПК малварь возобновит свою работу, так как Start по-прежнему находится в автозагрузке.

2016-10-08_14

Эксперты отмечают, что избавиться от вредоноса можно через Safe Mode или залогинившись под другим аккаунтом. Придется вручную удалить ярлык Start и папку из AppData\Roaming.



4 комментария

  1. Jeffrey Davis

    12.10.2016 at 10:29

    От это я понимаю… от это непредвиденное… дааа… выключить комп. Прæльно.

  2. xenocephal

    12.10.2016 at 14:48

  3. Int

    12.10.2016 at 17:44

    Опять проблемы виндузятников.

  4. Egorka1351

    02.11.2016 at 14:47

    извиняюсь что не в тему, как узнать ip владельца вк, кто сможет помочь?

Оставить мнение