По свидетельству Symantec, новая версия троянца-кликера Kovter может присутствовать лишь в оперативной памяти зараженной машины и использует системные средства Windows для автозагрузки.

Kovter известен с 2013 года и используется преимущественно для накрутки кликов по рекламным баннерам — такая схема мошенничества (click fraud) исправно приносит доход операторам зловредов этого профиля. Данный троянец постоянно совершенствуется, опробует новые средства самозащиты и время от времени всплывает в разных вредоносных кампаниях. Так, в минувшем июле он продемонстрировал умение патчить Flash Player у жертвы — для более корректного отображения видеорекламы, дабы его хозяева не теряли прибыль. В том же месяце исследователи из SANS ISC обнаружили многотиражную спам-рассылку, нацеленную на распространение Kovter в связке с другим кликером — Miuref. Известны также случаи, когда Kovter загружал вымогательское ПО.

Новую версию троянца (2.0.3) Symantec наблюдает itw с минувшего мая. Проникнув на компьютер, он в первую очередь проверяет наличие PowerShell. Если этого компонента нет, Kovter скачивает его из Интернета (при отсутствии связи на момент заражения зловред прописывается в системе обычным способом, сохраняя свой файл на жестком диске). Зловред также модифицирует ключи реестра, чтобы обеспечить загрузку основного модуля в память при каждом старте системы. После этого он удаляет с диска временный файл, привнесенный на первом этапе заражения.

Как отмечают эксперты, аналогичный бесфайловый метод использует другой известный, но более молодой кликер — Poweliks. Такая техника помогает вредоносным программам обходить антивирусы, проверяющие файлы на сигнатурное соответствие. Впрочем, в начале текущего года Microsoft ограничила эту возможность, улучшив санацию путей к файлам в Windows.

По данным Symantec, обновленный троянец пока используется лишь для накрутки кликов. Распространяется он в основном через рекламные баннеры или вложения в спам-письма — обычно это файл в формате .zip или .scr. Прежние версии Kovter доставлялись также с помощью эксплойт-паков Angler, Fiesta, Nuclear, Neutrino и Sweet Orange.

Согласно статистике ИБ-компании, новый Kovter активно атакует жителей США (56% заражений) и Великобритании (13%), в меньшей степени — немцев и канадцев (8 и 9% соответственно).

Категории: Аналитика, Вредоносные программы