Uważaj na załączniki: nowa mutacja trojana Agent sprawnie omija antywirusy

Nie ma dnia bez nowych próbek złośliwego oprogramowania.Szczęśliwie w zdecydowanej większości są szybko wychwytywaneprzez oprogramowanie antywirusowe. Dzisiaj rano dostaliśmy jednak wredakcyjnej poczcie szkodnika, który gładko przeszedł przezpraktycznie wszystkie programy antywirusowe. Biorąc pod uwagęskłonność internautów do klikania we wszystko, co wygląda nakorespondencję urzędową, tym razem zagrożenie jest poważne.

Uważaj na załączniki: nowa mutacja trojana Agent sprawnie omija antywirusy

27.11.2017 | aktual.: 27.11.2017 15:44

E-mail wygląda przyzwoicie – niejaka Krajowa AdministracjaSkarbowa przesyła „fakturę 13/11/2017” – jak na listopad, todobry numer. W środku załącznik w archiwum zip, i kilka słówpoprawną polszczyzną – Jakub Kowalski prosi o dołączeniefaktury i pozdrawia. Miliony takich wiadomości krążą międzyfirmami i urzędami.

Obraz

Kliknięcie załącznika w Windowsie rozpakowuje go, a próbaotworzenia dokumentu uruchamia domyślną przeglądarkę systemową.Reakcja antywirusa? Żadna. Nawet świetny program Kasperskiego dałsię podejść, uznając że plik o nazwie deklaracja (6).js jestbezpieczny. W rzeczywistości jednak mamy do czynienia z nowąmutacją trojana z rodziny Agent (JS.Trojan-Downloader.Agent.yq).

Po uruchomieniu w systemie, trojan pobrał z Internetu izainstalował sniffera Win32/Ursnif, który zmieniłzawartość Rejestru, ustawienia firewalla i zacząłrozmawiać z serwerami z chińskiego Internetu – najwyraźniejczekając na jakieś ciekawe dane, takie jak loginy i hasłaużytkownika. To, że w Windowsie 10 działał Defender, włączonabyła ochrona przed exploitami, najwyraźniej nie czyniło żadnejróżnicy.

Obraz

Obecnie serwis Virus Total informuje, że jedynie dwa silnikiantywirusowe rozpoznają nową mutację Agenta – Baidu (co ładniekoreluje z rozmowami z chińskimi serwerami) oraz Fortinet. Prosimywięc o zachowanie najwyższej ostrożności przy przeglądaniujakichkolwiek załączników do e-maili, szczególnie jeśli pochodząz nieznanych nam źródeł.

Klasyczne hasło o aktualnym systemie i aktualnym antywirusie tymrazem sobie podarujemy, zarażony system był przecież świeżutkimWindowsem 10. Zapewne jutro antywirusy będą już wykrywały cotrzeba, jednak jutro dla wielu może być za późno.

Szkodniki udało się usunąć z systemu za pomocą narzędzia Malwarebytes.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (66)