Разработчики популярного программного обеспечения регулярно обновляют свои продукты, чтобы расширить их функционал и повысить безопасность. Но поспевают за ними также создатели вредоносного ПО, которые тоже добавляют своим троянам дополнительные функции и делают их менее уязвимыми. Так, недавнее обновление для Kovter «научило» его маскироваться под самый популярный браузера в мире и наносить своим пользователям еще больший ущерб.
Эксперты по безопасности обнаружили, что давно известный им троят под названием Kovter значительно улучшил свои способности заражать большое количество компьютеров. В частности, теперь он стал это делать намного быстрее и эффективнее. Причиной этому стало обновление вируса, которое он получил пару недель назад. Кроме этого троян стал маскироваться под обновления для браузера Chrome, которые на сегодняшний день является самым популярным в мире и установлен на миллионы компьютеров. Подробности о Kovter стали известны благодаря исследованиям специалистов Microsoft.
За пару месяцев создатели Kovter очень сильно преуспели и проапгрейдили свой троян до такой степени, что его стало намного сложнее выявлять и нейтрализовывать.
Только за последние месяцы троян получил возможности шифровальщика и начал маскироваться под обновления браузера Firefox. Но этого злоумышленникам оказалось мало. Они решили сделать свой продукт еще лучше.
По словам специалистов из Microsoft Malware Protection Center добавление новых возможностей делает троян менее уязвимым, поэтому его становится сложнее выявить и предотвратить атаку. Даже самые серьезные антивирусы порой пропускают такие вирусы, допуская заражение ПК.
В нынешнее время Kovter является одним из самых популярных троянов. Сегодня он умеет при установке генерировать и регистрировать совершенно случайное расширение для своих файлов. Чтобы добиться такого результата, трояну приходится устанавливать в систему специальные ключи реестра. Это позволяет вирусу задействоваться каждый раз, когда поступает обращение к этому файлу. То есть для полноценной работы трояна необходимо, чтобы система позволила открыть созданный Kovter файл с выбранным расширением. Как только файл окажется открытым, на зараженном компьютере начинает выполняться произвольный код.
Еще одной особенностью вируса является использование в собственных целях инструментов Microsoft. В частности, были зарегистрированы случаи, когда использовалась mshta. Эта программа применяется для того, чтобы запускать HTML файлы.
Для постоянного запуска вредоносного файла и обмана системы Kovter создает множество дополнительных файлов в разных местах системы. При этом их содержание не имеет абсолютно никакого значения, так как вредоносный код уже содержится в реестре.
После того, как троян был полностью установлен на компьютер жертвы, ему еще необходимо обеспечит для себя автоматический запуск, чтобы файлы могли беспрепятственно открываться в системе. Для этого могут использоваться несколько способов. Первый из них подразумевает создание в папке автозагрузки Windows соответствующего ярлыка. Второй требует создания файла .bat и помещения его в случайную папку. После этого происходит установка специального ключа реестра, который постоянно будет обращаться к этому файлу.
Удаление вируса — очень сложный процесс для любого антивирусника, так как для начала необходимо выявить все файлы, созданные им, удалить их и внести соответствующие изменения в реестр.
И так сложная структура трояна стала еще сложнее после того, как он научился маскироваться под обновление для браузера Google Chrome. Также теперь Kovter для собственных целей использует новые цифровые сертификаты, которые позволяют ему обходить защиту. Ка только такие образцы вируса поступают в Сеть, это становится неожиданностью для разработчиков антивирусных программ. Пока они поработают над технологией препятствования такого рода атакам, вирус уже успеет успешно заразить сотни тысяч компьютеров во всем мире.
Отметим, что последнее обновление троян Kovter получил в начале июля.