Arbor Networks предупреждает о спам-рассылке, которая нацелена на засев троянца, особо интересующегося ключами к Bitcoin-кошелькам. Зловред закачивается по ссылке, указанной в письме, и позиционируется как бесплатная утилита для оповещения об изменении курса BTC.
По свидетельству экспертов, при активации вредоносной ссылки на машину жертвы загружается исполняемый файл BitcoinAlarm.exe, который на момент анализа детектировался как вредоносный лишь одним антивирусом из списка VirusTotal (Kaspersky).
Как показал анализ, данная программа выполнена в виде RAR-архива и обладает функционалом инсталлятора. При распаковке архива были обнаружены SFX-скрипт и пять файлов, в том числе winupdate.exe, содержащий AutoIt-код, который, согласно VirusTotal, вполне безвреден. Тем не менее, при запуске последнего эксперты столкнулись с подозрительной активностью. Дело в том, что данное приложение в первую очередь проверяет, работает ли в системе Avast; если да, оно “засыпает” на 20 секунд; такое поведение весьма характерно для вредоносного ПО.
Дальнейший анализ EXE-файла обнаружил также наличие функционала, позволяющего отключать защитные программы и функции зараженной системы. После устранения всех возможных помех подозрительный файл системными средствами считывает криптоключ из конфигурационного файла и с его помощью расшифровывает и запускает на исполнение файл 20070.RQT. Последний уже лучше детектится; большинство антивирусов из списка VirusTotal опознают его как троянский бэкдор NetWiredRC. Данный зловред способен воровать персональные идентификаторы к веб-сервисам; в ходе анализа он выполнял подключение к bitcoins.dd-dns.de; проверка этого ресурса по черным спискам показала незапятнанную репутацию. Arbor поспешила исправить этот промах, и в настоящее время данный домен уже заблокирован. BitcoinAlarm.exe уже детектируют почти половина антивирусов из списка VirusTotal. Вредоносная ссылка, распространяемая в спаме, возвращает ошибку 404. (Новости/NovostIT)