Bugungi kunning boshidan hozirgi kunga qadar JSOC CERT mutaxassislari Troldesh shifrlovchi virusining katta zararli tarqalishini qayd etishdi. Uning funksionalligi shifrlovchinikidan ham kengroqdir: shifrlash moduliga qo‘shimcha ravishda u ish stantsiyasini masofadan boshqarish va qo‘shimcha modullarni yuklab olish imkoniyatiga ega. Shu yilning mart oyida biz allaqachon
Pochta turli manzillardan yuboriladi va xatning asosiy qismida WordPress komponentlari bilan buzilgan veb-resurslarga havola mavjud. Havolada Javascript-dagi skriptni o'z ichiga olgan arxiv mavjud. Uning bajarilishi natijasida Troldesh shifrlovchisi yuklab olinadi va ishga tushiriladi.
Zararli elektron pochta xabarlari aksariyat xavfsizlik vositalari tomonidan aniqlanmaydi, chunki ular qonuniy veb-resursga havolani o'z ichiga oladi, ammo to'lov dasturining o'zi hozirda ko'pchilik antivirus dasturlari ishlab chiqaruvchilari tomonidan aniqlangan. Eslatma: zararli dastur Tor tarmog'ida joylashgan C&C serverlari bilan aloqa o'rnatganligi sababli, zararlangan mashinaga uni "boyitishi" mumkin bo'lgan qo'shimcha tashqi yuk modullarini yuklab olish mumkin.
Ushbu xabarnomaning umumiy xususiyatlaridan ba'zilari:
(1) axborot byulleteni mavzusiga misol - "Buyurtma haqida"
(2) barcha havolalar tashqi tomondan o'xshash - ular /wp-content/ va /doc/ kalit so'zlarini o'z ichiga oladi, masalan:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) zararli dastur Tor orqali turli boshqaruv serverlariga kiradi
(4) fayl yaratiladi Fayl nomi: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun filialida ro'yxatga olingan (parametr nomi - Client Server Runtime Subsystem).
Virusga qarshi dasturiy ta'minot ma'lumotlar bazasi yangilanganligiga ishonch hosil qilishni, xodimlarni ushbu tahdid haqida xabardor qilishni, shuningdek, iloji bo'lsa, yuqoridagi belgilar bilan kiruvchi xatlar ustidan nazoratni kuchaytirishni tavsiya qilamiz.
Manba: www.habr.com