Подробности о троянце Nymaim

--> Дата: Ноя 15, 2013 56

Компания ESET сообщила о новом способе распространения троянской программы Nymaim, которая может блокировать компьютер пользователя с целью получения выкупа за расшифровку.

С конца сентября нынешнего года внимание экспертов антивирусной лаборатории ESET привлекла уже известная вредоносная программа Nymaim – троянец с функциями вымогателя. Раньше заражение этим ПО шло при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали уязвимости приложений или ОС для доставки вредоносного кода на компьютер. Однако недавно прошла информация о том, что автор комплекта BlackHole был задержан в России. Вероятно, в связи с этим злоумышленники стали использовать новый способ заражения.

С конца сентября было зафиксировано большое количество обнаружений Nymaim среди файлов, загруженных при помощи браузера. Как утверждают эксперты ESET, реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования Web-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали так называемую темную поисковую оптимизацию (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам. Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, название которого – для повышения доверия пользователей – соответствует введенному в строку поиска тексту (один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса). Загруженный под тем или иным названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл выполняет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать ОС для получения выкупа.

В ходе исследования аналитики ESET обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением, целью которых были пользователи из разных стран Европы и Северной Америки. На данный момент обнаружены экраны блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. (разумеется, этот список не является окончательным).

Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа – около 150 долл., но пользователей из США просят заплатить за разблокировку уже 300 долл.; в Румынии же зараженный пользователь может отделаться суммой 100 евро, т.е. около 135 долл.

Вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные Web-сервера, что приводит к перенаправлению пользователей на вредоносные сайты. Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 г. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

Как подчеркивают в ESET, обновленные персональные продукты NOD32 Антивирус и NOD32 Smart Security обеспечивают защиту ПК от угроз, подобных Win32/Nymaim, благодаря усовершенствованным механизмам детектирования.