Эксперты Kahu Security рассказали об угрозе, исходящей от весьма агрессивной вредоносной программы, созданной в JavaScript.
Данная программа была обнаружена еще в 2014 году, но лишь ее последние версии ведут себя крайне агрессивно. Вредоносная программа проникает в компьютер пользователя с помощью спам-писем. Несмотря на то, что программа является JavaScript-файлом, ее выполнение происходит в Windows Script Host, а не в браузере.
Эксперты сообщают, что создатели программы сильно запутали ее код для усложнения работы аналитиков. Кроме обычной обфускации, киберпреступники пользовались закодированными символами и условными выражениями.
Однако исследователи разобрались в коде и выяснили, что вредоносная программа осуществляет копирование файла wscript.exe, его переименование и размещение в новой директории внутри AppData\Roaming. Кроме того, скрипт занимается самокопированием и пользуется для запуска свежей копией wscript.exe. Также вредоносная программа создает ярлык с иконкой папки для себя, присваивает ему имя Start и размещает в директории Startup. В результате пользователь воспринимает данный файл как директорию.
Закрепившись в системе, вредоносная программа открывает в браузере главную страницу Google или Bing для проверки соединения с интернетом. Если никаких проблем нет, вредоносная программа выходит на связь с urchintelemetry.com, куда передает сведения об инфицированном компьютере, а также со страницей 95.153.31.22 для скачивания зашифрованного JavaScript-файла. Последний предназначен для подмены домашней страницы в Chrome, Internet Explorer и Firefox на адрес login.hhtxnet.com, откуда происходит перенаправление на страницу portalne.ws.
Кроме того, второй скрипт применяет Windows Management Instrumentation (WMI) для того, чтобы искать защитные решения, установленные на компьютере. В случае их обнаружения вредоносная программа прекратит свою работу, а на экране появится фальшивое сообщение об ошибке. Если пользователь заподозрит неладное и попробует в ручном режиме завершить процесс wscript.exe, то скрипт незамедлительно выключит компьютер с помощью специальной команды. При повторном включении компьютера программа возобновит свою работу, поскольку она будет присутствовать в меню автозагрузки.
Специалисты советуют устранять вредоносную программу, используя безопасный режим или другую учетную запись. Для это нужно будет в ручном режиме удалить ярлык Start и папку из AppData\Roaming.