Новая модификация вируса Sefnit не использует клиент Tor


Facebook-revoluciyaЭксперты по безопасности из Facebook зафиксировали в Сети возобновленную активность ботнета Sefnit. Новая модификация вредоноса не использует для своего распространения клиент Tor, как его предшественник.

Новый Sefnit устанавливает связь между компьютером жертвы и одним или более C&C-серверами напрямую, используя безопасное соединение Plink. С этих серверов вредонос и получает дальнейшие команды или скачивает полезную нагрузку.

Изначально вредоносное ПО выдает себя за системный файл Windows Theme, а действует в виде двух исполняемых файлов.

Файлы вредоноса размещаются в следующих локациях:

  • C:\WINDOWS\system32\winthemes_service.dll (95a04d26a8b87e8a32e591693884bf50);
  • C:\WINDOWS\system32\themes.dll (871db29bcc679c0d75742b902a143bfb);
  • С:\users\$USER\appdata\roaming\updater\updater.dll (0afe083d8a6435fa7bdac372bfebdabd).


Исследователи, обнаружившие вирус, намерены предоставить данные о Sefnit антивирусным компаниям для его изучения. Однако, по уже имеющимся данным видно, что новый код вредоноса был написан где-то в марте 2014 года. К тому же, по крайней мере 30 доменов связаны с новыми случаями инфицирования при помощи Sefnit.

Для справки. Еще в январе 2014 года эксперты Microsoft подчеркнули опасность вируса даже после его удаления. Это связано с тем, что, несмотря на удаление вредоноса, в системе остается установленным Tor версии 0.2.3.25. К тому же, в последнем отключена функция автоматического обновления, что при наличии опасных брешей в программе может привести к повторному заражению системы пользователя. Затем Редмонд полностью деактивировал ботнет, который успел заразить более 2 млн. систем.


Обновлено (29.04.2014 12:06)