Эксперты Microsoft Malware Protection Center сообщили о том, что появилась новая разновидность троянской программы Kovter, которая имеет новый механизм, усложняющий ее выявление и нейтрализацию.
Для успешного распространения программа замаскирована под обновление для Chrome. Помимо этого, она пользуется рядом новых цифровых сертификатов для обеспечения более высокого процента заражения.
Новая разновидность Kovter во время установки создает и регистрирует специфическое расширение. Вредоносная программа генерирует определенные ключи реестра, которые позволяют осуществлять ее запуск каждый раз, когда открывается файл с этим расширением.
Кроме того, чтобы выполнять вредоносный скрипт JavaScript, Kovter использует mshta. Вредоносная программа обеспечивает постоянный запуск скрипта путем создания в различных местах серии файлов, имеющих специфическое расширение. На финальной стадии инсталляции троянская программа реализует механизм автозапуска этих файлов.
По словам специалистов Microsoft Malware Protection Center, для полного удаления троянской программы с зараженного компьютера, нужно удалить все файлы, созданные ею, и внести изменения в реестр.
В течение последних нескольких месяцев создатели вредоносной программы работали не покладая рук. В апреле ими в Kovter был добавлен функционал шифровальщика, а в начале июля хакеры начали маскировать программу под обновление для Firefox.