«Доктор Веб» предупреждает: хакеры рассылают троянца в письмах от Amazon.com

Компания «Доктор Веб», занимающаяся разработкой систем безопасности для ПК, предупреждает пользователей о новой волне кибератак, которые связаны с почтовой рассылкой якобы от известного интернет-магазина Amazon.com. Вредоносные письма предлагают пользователю загрузить лицензию для ОС Microsoft Windows, однако, перейдя по указанной в сообщении ссылке, пользователь заражает свой ПК сразу двумя вредоносными программами (бэкдором Andromeda.22 и троянцемNecurs.97), при помощи которых злоумышленники получают власть над компьютерами своих жертв и могут загрузить на них уже любое другое вредоносное ПО.
Замечено, что с 22 октября текущего года многочисленные пользователи сети Интернет начали регулярно получать электронные письма, разосланные от имени магазина Amazon.com. При этом в каждом таком письме имеется ссылка на веб-станицу злоумышленников, которая включает сценарий, выполняя который пользователь переходит на следующий сайт, где браузеру предлагается скачать файл с JavaScript-сценарием, загружающим на компьютере две названные выше хакерские программы.
Троянец Necurs.97 может саморазмножаться и инфицировать съемные носители, подсоединяемые к зараженному ПК, а также переходит на другие компьютеры, соединенные по локальной сети. Сразу после запуска Necurs.97, программа создает исполняемый файл в отдельной папке и вносит определенные изменения в системный реестр с целью обеспечения автозапуска этого файла при каждой загрузке Windows. Затем троянец ищет запущенные процессы браузеров Mozilla Firefox и Internet Explorer. Если же они обнаруживаются, то Necurs.97 встраивает в них свой код. После этого троянец занимается тем, что копирует себя на все доступные в данной системе съемные носители, сохраняя в них свою копию под любым именем. Делле вредоносная программа создает файл под названием autorun.inf в корневой папке накопителя с целью автоматического запуска программы при каждом подключении съемного устройства.
Основной целью троянца Necurs.97 является установление соединения с удаленными серверами злоумышленников, на которые программа сообщает об успешной установке и инфицировании того или иного ПК и ждет поступления следующих команд, среди которых наиболее часто встречаются такие как загрузка на зараженный компьютер разнообразных приложений и передачу конфиденциальных данных на удаленный сервер хакеров.
Ввиду такой серьезной опасности, специалисты из компании «Доктор Веб» советуют пользователям быть осторожными с неизвестными сообщениями на электронной почте и ни в коем случае не переходить по указанным в них ссылкам.