У вносящей изменения в системный реестр троянской программы Poweliks, обнаруженной в 2014 г., появился преемник в лице нового варианта вредоноса Kovter, который использует аналогичную тактику для усложнения обнаружения и механизм устойчивости, позволяющий оставаться на зараженном компьютере после перезапуска системы.
Так же, как и Poweliks, Kovter (версия 2.3.0 и выше) не создает никаких файлов и существует в виде записи в реестре. Инфицирование может происходить по двум сценариям. В первом троян проверяет наличие в системе прошивки PowerShell. Если таковая на компьютере отсутствует и есть доступ в интернет, вредонос загружает версию прошивки. При отсутствии интернет-подключения Kovter использует второй сценарий и функционирует как более традиционное вредоносное ПО.
В случае “безфайлового” инфицирования вредонос добавляет значения к одному или нескольким ключам реестра и, используя легитимную программу MSHTA, выполняет код JavaScript, который, в свою очередь, запускает код JavaScript из другой ветки системного реестра Kovter. Этот второй код расшифровывает и исполняет содержащийся в нем вредоносный скрипт PowerShell. Далее скрипт исполняет шелл-код (код запуска оболочки), который расшифровывает и загружает в память основной модуль Kovter.
По аналогии с большинством троянов Kovter распространяется посредством вредоносных рекламных кампаний, нацеленных на новостные ресурсы и сайты с контентом “для взрослых”. По данным экспертов компании Symantec, для распространения вредоноса атакующие использовали наборы эксплоитов Fiesta, Angler, Nuclear, Neutrino и Sweet Orange. В последнее время Kovter наряду с другими троянами использовался в спам-кампаниях. На данный момент нет данных, позволяющих предположить, что атаки направлены на какие-либо определенные регионы. Пока в числе наиболее пострадавших стран оказались США, Великобритания, Канада, Германия, Австралия и Япония. (Новости/NovostIT)