Alates tänasest kuni tänapäevani on JSOC CERT eksperdid registreerinud Troldeshi krüpteeriva viiruse massilise pahatahtliku levitamise. Selle funktsionaalsus on laiem kui ainult krüpteerija oma: lisaks krüpteerimismoodulile on sellel võimalus tööjaama kaugjuhtida ja täiendavaid mooduleid alla laadida. Selle aasta märtsis me juba Troldeshi epideemia kohta – siis varjas viirus oma kohaletoimetamist asjade interneti seadmete abil. Nüüd kasutatakse selleks WordPressi haavatavaid versioone ja cgi-bini liidest.
Post saadetakse erinevatelt aadressidelt ja see sisaldab kirja sisus linki WordPressi komponentidega ohustatud veebiressurssidele. Link sisaldab arhiivi, mis sisaldab Javascripti skripti. Selle käivitamise tulemusena laaditakse alla ja käivitatakse Troldeshi krüpteerija.
Enamik turvatööriistu ei tuvasta pahatahtlikke kirju, kuna need sisaldavad linki seaduslikule veebiressursile, kuid lunavara enda tuvastab praegu enamik viirusetõrjetarkvara tootjaid. Märkus: kuna pahavara suhtleb Tor-võrgus asuvate C&C serveritega, on potentsiaalselt võimalik nakatunud masinasse alla laadida täiendavaid väliseid laadimismooduleid, mis suudavad seda "rikastada".
Mõned selle uudiskirja üldised funktsioonid hõlmavad järgmist:
(1) näide uudiskirja teemast – „Teave tellimisest”
(2) kõik lingid on väliselt sarnased – need sisaldavad märksõnu /wp-content/ ja /doc/, näiteks:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) pahavara pääseb Tori kaudu juurde erinevatele kontrollserveritele
(4) luuakse fail Failinimi: C:ProgramDataWindowscsrss.exe, mis on registreeritud registris TARKVARA MicrosoftWindowsCurrentVersionRun harus (parameetri nimi - Client Server Runtime Subsystem).
Soovitame veenduda, et teie viirusetõrjetarkvara andmebaasid on ajakohased, kaaluda töötajate teavitamist sellest ohust, samuti võimalusel tugevdada kontrolli eeltoodud sümptomitega saabuvate kirjade üle.
Allikas: www.habr.com