Исследователи из Flashpoint проанализировали новую модификацию хорошо известного загрузчика SafeLoader VBS. Как оказалось, этот даунлоудер способен не только загрузить вредоносный код, но и обеспечить удаленный доступ к командному серверу.

О существовании столь необычного скрипта, именуемого ARS VBS Loader, эксперты, по их словам, впервые узнали из рекламных объявлений, появившихся на русскоязычных теневых форумах в декабре прошлого года. Продавец позиционировал этот VBS-сценарий как FUD — fully undetectable, то есть его якобы невозможно обнаружить.

Загрузчики, исполненные как VBScript, давно и довольно широко используются для доставки вредоносных программ, однако RAT-функциональности у подобных скриптов исследователи ранее не встречали. Новоявленный даунлоудер позволяет получить доступ к зараженной системе через PHP-приложение, захватить контроль над компьютером и приобщить его к ботнету.

Аналитики также отметили уникальность механизма ARS VBS, обеспечивающего постоянное присутствие в системе. Этот скрипт рапортует о своих успехах, отсылая статистические данные на C&C-сервер, и может загрузить с него дополнительные вредоносные коды. Таким образом, автор атаки имеет возможность оперативно вносить коррективы и перепрофилировать зловред уже после заражения.

Комментируя находку для Dark Reading, старший вирусный аналитик Flashpoint Пол Бербедж (Paul Burbage) отметил, что ARS VBS отличает еще одна особенность: этот скрипт умеет получать дополнительные команды. Когда репортер новостного издания поинтересовался, опасен ли ботнет, для которого ARS VBS в настоящее время заражает машины, его собеседник ответил так: «Не думаю, что его использование будет продуктивным — он применяет PHP POST flood, и большинство сайтов с успехом справятся с такими атаками».

Распространяется новый загрузчик, по словам Бербеджа, через массовые спам-рассылки, причем не без успеха: далеко не все пользователи усвоили золотое правило — не открывать вложения в письма от незнакомцев. К тому же почтовые антивирусы, скорее всего, не отреагируют на VBS-файл: такими скриптами часто пользуются сетевые администраторы, и распознать недобрые намерения в данном случае очень трудно.

«VBScript интегрирован или по умолчанию поддерживается во всех системах Windows, — поясняет Бербедж. — Его, наверное, можно отключить в пределах организации, но тогда все лишатся возможности выполнять поставленные задачи».

Категории: Аналитика, Вредоносные программы