Над 18% от опитите за зараза с вируси в България на 6 октомври са дело на един вирус – JS/TrojanDownloader.Nemucod. Новият вариант на добре познатата заплаха е един от зловредните кодове, които се разпространяваха с масовия фишинг имейл, който бе разпратен на 6 октомври от името на Националната агенция за приходите. Той е и на второ място по разпространение у нас за същия ден – воден само от JS/Danger.ScriptAttachment (34.83% от опитите за зараза), което ни навежда на мисълта, че вирусите, разпространявани с подобни писма може да са повече от един.
Как работи?
Общото между двата кода е действието им. Те инициират свалянето на payload – или активна част на вируса. С други думи, с отварянето на документа от „НАП“, потребителят инициира сваляне на активната част на вируса – която по поведението си много прилича на cryptolocker – или зловреден код, криптиращ файловете на заразената машина.
Към момента обаче линкът, от който трябва да бъде свалена активната част на вируса, е неактивен – което обаче може да се промени всяка секунда.
Историята на атаката
Масовата зараза бе осъществена в рамките на 6 октомври. Потребители подадоха множество оплаквания, че са получили писмо, чийто привиден подател е НАП и в което привидно трябва да се съдържа Уведомление относно промени в регламента за подаване на декларации към НАП.
Писмото, написано на перфектен български език, идва от различни домейни – един от които чешки – ddzsliptal.cz. Сайтът е на детски дом и предучилищна, разположена в селце с площ малко над 24 кв. км. и население от 1,400 души на име Липтал в югоизточна Чехия.
В самото писмо се съдържа и прикачен файл, който на практика инициира свалянето на критовируса.
Специално за България?
Вариантът на Nemucod, разпространяван с писмото, е нов – непознат, поне до вчера. Но не е засечен за първи път в България, а в Китай.
Към момента той е разпознаваем от решенията за антивирусна защита на дома и бизнеса на ESET.