Руткит Necurs загружается с различных сайтов


Руткит Necurs распространяется через загрузки drive-by и может попасть в систему с любого сайта. Установка руткита осуществляется с помощью эксплойт-паков вроде Blackhole, используя любую из имеющихся уязвимостей в браузере, плагине Java, Adobe Flash и т.д. Руткит поражает только компьютеры с операционной системой Windows.

После установки Necurs:

  • блокирует работу антивирусных программ;
  • загружает дополнительное вредоносное ПО;
  • фильтрует интернет-трафик;
  • рассылает спам.


Программа может работать как бэкдор, предоставляя злоумышленникам полный доступ и контроль над инфицированной машиной.

Necurs очень умело маскируется. Все его команды запускаются на исполнение только при наличии двух ключей, которые проверяются на валидность системой вроде "менеджера команд", при этом код постоянно генерирует недействительные случайные ключи. Если указан неправильный ключ, то команда не запускается. Это сделано для того, чтобы спрятать функциональность программы и осложнить врагам её анализ. Вероятно, у авторов руткита есть на руках полный список команд и соответствующих ключей, а вот у специалистов антивирусных компаний такого списка нет.

Некоторые из ключей, которые удалось узнать

Necurs CmdKey

Вероятно, авторы руткита имеют возможность выборочно задействовать определённые команды на той или иной заражённой системе.

Necurs шифрует/верифицирует трафик между клиентом и сервером, используя алгоритмы MD5 и SHA1. После установки руткита обнаружить его можно только с помощью анализа сетевых пакетов, потому что антивирусы в такой ситуации бесполезны.

Necurs shifruet trafik