Эксперты Trend Micro обнаружили новую «многозадачную» малварь Virobot. Она может не только шифровать файлы пользователей и требовать выкуп, но также способна перехватывать и запоминать нажатия клавиш и делать зараженные машины частью рассылающего спам ботнета.

Исследователи рассказывают, что вредонос распространяется через спамерские письма. Если жертва попадается на удочку злоумышленников, загружает и запускает малварь, та шифрует файлы пользователя, используя RSA. Virobot интересуют файлы TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF и SWP. Затем жертве показывают сообщение с требованием выкупа, как на иллюстрации ниже. Эксперты отмечают, что послание по какой-то причине написано на французском языке, что достаточно странно, так как угроза распространяется среди американских пользователей.

Однако помимо шифровальщика Virobot содержит и другие модули. В частности, малварь способна работать как кейлоггер, перехватывать все нажатия клавиш и передавать их на удаленный сервер своим операторам.

Кроме того, зараженные Virobot устройства могут стать частью ботнета, так как вредонос способен загружать с удаленного сервера дополнительную малварь и запускать ее. Хуже того, этот же модуль может использовать локальную установку Microsoft Outlook для рассылки спама по всему списку контактов пострадавшего. Специалисты Trend Micro считают, что эту функциональность Virobot может использовать для дальнейшего распространения себя, или других вредоносных файло, загруженных с управляющего сервера.

Аналитики сообщают, что в настоящее время управляющие серверы Virobot отключены, а значит, модуль-шифровальщик не может работать. По мнению исследователей, пока Virobot еще находится на этапе тестирования, отсюда и требование выкупа на французском языке, и временная неработоспособность серверов. Скорее всего, скоро серверы и Virobot полностью вернутся в строй.

Оставить мнение