В национальном сегменте сети Интернет наблюдается активность ВПО типа бэкдор-троян семейства «Pteranodon». Он позволяет злоумышленникам получать доступ к конфиденциальной информации жертвы, а также устанавливать дополнительные вредоносные модули. Зловред нацелен в основном на государственные структуры, но встречается и на домашних компьютерах. Распространяется с зараженными документами, содержащими макросы, посредством фишинговых рассылок. Управляется ВПО с командного центра. На данный момент более 400 машин в национальном сегменте проявляют признаки заражения.
Признаки заражения системы:
Хэш скачиваемых файлов:
- c2ccde794aaf3bdbbdb12a7ed35f275e
- df5ecffd866f24452031b27351c016ae
- bc38dab83142de44cd8e88007ff559cd
- df81ca0a353381c29b06569d9ddc3c67
- aa535f3f8d4a9de0d5769e90086e89f6
- 689fab7a016dae57300048539a4c807e
- b26b88cfdd4b358b02929dcf47da7a2f
- 75d6b79e788f2b5dee0b21ae21e035e2
- 8b85cccb69f7e6b5d8f410686e77c786
- 1d9d576aafa8c9c49bf5a5755ab538f3
- 8863055b3b1291fbe593dadb29b5c97b
- a5eccedeae86d020a2f755fed07471e4
Обращение на следующие адреса:
- susget.hopto[.]org
- susget.hopto[.]org/tools.dot
- susget.hopto[.]org/host.dot
- dominikanos[.]hopto.org
- dominikanos.hopto[.]org/musik.dot
- feodosh.hopto[.]org
- dochlist.hopto[.]org
- document-out.hopto[.]org
- pasive.ddns[.]net
- perdector.hopto[.]org
- honvoi.hopto[.]org
- spread-system[.]info
- spread-system[.]info/get.php
- spread-system[.]info/update.php
- 87.106.18[.]122
Промежуточный файл может находится в системе по следующему пути:
str_AppDataPath + «\Microsoft\Windows\Start Menu\Programs\Startup\security.vbs»
Ключ реестра:
«HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run» /v «OfficePlugin»
В случае обнаружения заражения просим сообщить на почту support@cert.by, указав в теме письма код [rt.cert.by #44589].
