Poweliks – троянская программа, которая вносит изменения в системный реестр – была обнаружена в прошлом году. В этом году у нее появился преемник в лице нового версии вредоносной программы Kovter, использующей аналогичные техники, чтобы усложнить свое обнаружение антивирусным программным обеспечением, а также имеющую механизм устойчивости, который дает программе возможность после перезагрузки оставаться на инфицированном компьютере.
Подобно программе Poweliks, Kovter существует в виде записи в реестре, не создавая никаких файлов. Заражение может проходить по двум сценариям. В первом случае троянской программой инициируется проверка системы на наличие в ней прошивки PowerShell. При ее отсутствии и наличии доступа к сети Интернет, вредоносная программа осуществляет загрузку версии прошивки. Если Интернет-подключение отсутствует, то задействуется второй сценарий, в рамках которого Kovter работает как более традиционное вредоносное программное обеспечение.
Вредоносная программа добавляет значения к ключам реестра и с помощью легитимной программы MSHTA осуществляет выполнение кода JavaScript, что влечет за собой запуск кода JavaScript из другой ветки системного реестра Kovter. Этот второй код производит расшифровку и задействует содержащийся в нем вредоносный скрипт PowerShell, исполняющий шелл-код (код запуска оболочки). С помощью шелл-кода осуществляется расшифровка и загрузка в память основного модуля Kovter.
Подобно большинству троянских программ Kovter распространяется через вредоносные рекламные кампании, нацеленные на новостные порталы и ресурсы с контентом «для взрослых». Согласно информации компании Symantec, чтобы распространить вредоносную программу, хакеры пользовались наборами эксплоитов Angler, Fiesta, Neutrino, Nuclear и Sweet Orange. Kovter наряду с другими троянскими программами все чаще применяется в спам-кампаниях.
Пока что нельзя с уверенностью утверждать, что нападения направлены на какие-либо определенные регионы. На данный момент среди стран, которые сильнее всех пострадали от троянской программы, оказались Австралия, Великобритания, Германия, Канада, США и Япония.