Как един вирус завладя България

nemucod-analysis.jpg

Как един вирус завладя България

Над 18% от опитите за зараза с вируси в България на 6 октомври са дело на един вирус - JS/TrojanDownloader.Nemucod. Новият вариант на добре познатата заплаха е един от зловредните кодове, които се разпространяваха с масовия фишинг имейл, който бе разпратен на 6 октомври от името на Националната агенция за приходите. Той е и на второ място по разпространение у нас за същия ден – воден само от JS/Danger.ScriptAttachment (34.83% от опитите за зараза), което ни навежда на мисълта, че вирусите, разпространявани с подобни писма може да са повече от един.

Как работи?

Общото между двата кода е действието им. Те инициират свалянето на payload – или активна част на вируса. С други думи, с отварянето на документа от „НАП“, потребителят инициира сваляне на активната част на вируса – която по поведението си много прилича на cryptolocker – или зловреден код, криптиращ файловете на заразената машина.

Към момента обаче линкът, от който трябва да бъде свалена активната част на вируса, е неактивен – което обаче може да се промени всяка секунда.

Историята на атаката

Масовата зараза бе осъществена в рамките на 6 октомври. Потребители подадоха множество оплаквания, че са получили писмо, чийто привиден подател е НАП и в което привидно трябва да се съдържа Уведомление относно промени в регламента за подаване на декларации към НАП.

Писмото, написано на перфектен български език, идва от различни домейни - един от които чешки - ddzsliptal.cz. Сайтът е на детски дом и предучилищна, разположена в селце с площ малко над 24 кв. км. и население от 1,400 души на име Липтал в югоизточна Чехия.

В самото писмо се съдържа и прикачен файл, който на практика инициира свалянето на критовируса.

Специално за България?

Вариантът на Nemucod, разпространяван с писмото, е нов – непознат, поне до вчера. Но не е засечен за първи път в България, а в Китай.

Към момента той е разпознаваем от решенията за антивирусна защита на дома и бизнеса на ESET.

Още нoвини

Виж всички