Приклад повідомлень :
У вкладеному архіві anketa_21_3_2018 (4).zip міститься шкідливий Javascript: anketa_21_3_2018 (4).js. Також, було виявлено поширення повідомлень з таким Javascript, але, вкладених в архів documents (5).zip з назвою шкідливого Javascipt documents (5).js відповідно.
Сам Javascript складно обфускований, в декілька етапів.
В результаті аналізу встановлено, що Javascript за допомогою ADODB.Stream записує потік даних з сайту hxxp://chernilis.win/filename94.bin?ff1 у виконуваний файл за адресою C:\Users\<username>\AppData\Local\Temp\62ea.exe. Таким чином, вірус не скачується явно, а одразу створює шкідливий виконуваний файл в директорії \Temp.
Даний вірус є Ursnif(або Gozi), що використовується для викрадання даних. Троян запакований і в процесі ініціалізації інфікує процес explorer.exe. В інфікованому коді пропущені деякі частини PE заголовка(MZ, PE) для ускладнення аналізу.
Далі вірус з’єднується з адресами 35.189.126.95, 119.28.108.16, 86.59.21.38.
MD5 hash:
62ea.exe: a42463a23c46eedbf333a865aef352ef
anketa_21_3_2018 (4).js: 02117b91d46b41ee9440d4bb2cb1da8d
documents (5).js: ede1f7d8678926004d3416a6c65caeca
Рекомендації CERT-UA:
- Обмежте можливості користувачів щодо встановлення та запуску небажаних програмних застосувань для всіх систем та служб. Обмеження цих привілегій може запобігти запуску шкідливих програм;
- Оновіть антивірусне програмне забезпечення та запустіть сканування;
- Уникайте повідомлень вказаного змісту та застережіть персонал від запуску даних Javascript файлів;
- Забезпечте моніторинг мережевого обладнання на факт звертання до підозрілих адрес.
Автор публікації
