Эксперты из Malwarebytes Labs провели анализ новой версии многофункциональной вредоносной программы Neutrino Bot, распространение которой осуществляется посредством одноименного набора эксплоитов.
В рамках исследования специалисты обратили внимание на многослойную защиту, которая призвана предотвращать обнаружение вредоносной программы. Проникнув в систему, Neutrino Bot осуществляет перехват сетевого трафика, проверяет устройство на предмет наличия антивирусных решений, а также, используя обфусцированный код JavaScript, выясняет, находится ли программа на виртуальной машине. Если вредоносная программа установлена на виртуальной машине, она удаляет себя.
После проверки вредоносная программа осуществляет запуск специально сформированного Flash-файла, содержащего ряд эксплоитов для уязвимостей в Internet Explorer и Flash Player. На конечном этапе осуществляется загрузка и выполнение зашифрованной полезной нагрузки для обхода прокси.
Neutrino Bot помещает свою копию в скрытом каталоге %APPDATA%/Y1ViUVZZXQxx, а также добавляет в реестр Windows новые ключи и изменяет существующие во избежание обнаружения пользователем. Помимо этого, вредоносная программа вносит свою копию в белый список межсетевого экрана и отключает функционал отсылки информации об инцидентах в Microsoft SpyNet.
После успешной установки Neutrino Bot осуществляет загрузку основного вредоносного модуля, а затем выходит на связь с командным сервером и ждет команды от оператора. Neutrino Bot проводит DDoS-атаки, работает как кейлоггер, делает скриншоты, подменяет DNS-запросы, а также осуществляет загрузку дополнительного вредоносного программного обеспечения.