…Намедни получил очередное электронное письмо с
"сюрпризом", якобы от USPS (Почтовая
служба США):
«Hello, Your item has arrived at the USPS Post Office at Mon, 30 Jan
2017 23:55:19 +0100, but the courier was unable to deliver parcel to you.
Please review delivery label in attachment! All the best. Carlee Dodge -
USPS Senior Office Manager» («Здравствуйте, Ваш заказ прибыл в
почтовое отделение USPS в пн, 30 января 2017 23:55:19 +0100, но курьер
не смог доставить посылку вам. Пожалуйста, ознакомьтесь с отметкой о
доставке во вложении! Всего наилучшего. Carlee Dodge - USPS Старший
Офис-менеджер»).
Письмо содержит вредоносное вложение – архив
Delivery-Details.zip (35 542 байт).
В архиве содержится вредоносный файл
Delivery-Details.js (файл сценария JScript; 38 001 байт).
На момент написания статьи ни один антивирус не
детектировал
зловреда.
Исследование показало, что этот вирус является
троянской программой для 32-битной
ОС Windows с
процессором x86.
Вирус –
резидентный, на
заражённом ПК он грузится
вместе с операционной системой и постоянно присутствует в оперативной
памяти.
Злоумышленники использовали метод так называемой
социальной инженерии:
для усыпления бдительности и отвлечения внимания получателя письма они
представились Почтовой
службой США.
Кроме того, вредоносному вложению дано безобидное имя, широко
применяемое USPS – Delivery-Details (якобы статус доставки
почтового
отправления!).
Файл Delivery-Details.js содержит
обфусцированный
вредоносный код.
***
Деструктивные действия вируса:
– в
системных каталогах %TEMP%\, %WINDIR%\, %WINDIR%\System32\ создаёт
копии исполняемых файлов вируса (.exe), названия которых состоят из
случайной
буквенно-цифровой последовательности символов;
– изменяет некоторые ключи
Реестра Windows (в
разделах [HKLM\SOFTWARE\] и [HKLM\SYSTEM\]);
– внедряется в адресное пространство
системных процессов
epxplorer.exe и taskmgr.exe;
– открывает на локальном
ПК необходимые для связи с
серверами злоумышленников UDP- и TCP-порты;
– загружает с серверов злоумышленников и
устанавливает на ПК
сопутствующее вредоносное программное
обеспечение;
– в фоновом режиме запускает установленные в системе
веб-браузеры и загружает рекламу, приносящую доход злоумышленникам;
– …
***
Как не стать жертвой кибермошенников:
– используйте
антивирусное
программное обеспечение;
– регулярно выполняйте
антивирусную
проверку своего ПК
– для своевременного обнаружения вредоносного
программного
обеспечения;
– своевременно устанавливайте обновления
операционной системы и прикладного программного
обеспечения
своего ПК;
– не доверяйте электронным письмам от незнакомых
отправителей (не кликайте по
предложенным ссылкам, не загружайте и не открывайте прикреплённые файлы,
– они могут содержать вредоносный код);
– старайтесь не посещать сомнительные ресурсы и –
тем более! – не кликайте по
ссылкам и "картинкам" с «интригующими» сообщениями;
– во избежание фишинговых атак рекомендуется вводить
адреса веб-ресурсов (в адресной строке веб-браузеров) вручную;
– помните, что «воспользовавшись услугами»
фишингового сайта, вы не только рискуете потерять свои
деньги и данные своего
аккаунта, но и
подвергаетесь риску скомпрометировать свои конфиденциальные данные (№
мобильного телефона,
банковские
данные и т.д.), – злоумышленники могут воспользоваться ими в своих
корыстных целях;
– не указывайте номер своего мобильного телефона на
различных веб-ресурсах (форумах, etc.), – иначе вас могут завалить
спамом;
– …
Соблюдение элементарных правил безопасности и здравый смысл помогут вам
сберечь всё, что нажито честным непосильным трудом и
нервы, и деньги…