Новый многофункциональный вредонос распространяется через архивы с электронными книгами
Новый многофункциональный вредонос распространяется под видом электронных книг через торренты: программа ViperSoftX использует общеязыковую среду выполнения (CLR) для динамической подгрузки и запуска команд PowerShell — таким образом, формируется среда PowerShell внутри AutoIt.
ViperSoftX впервые был замечен в 2020 году специалистами компании Fortinet. Этот вредонос способен выводить значимые данные из скомпрометированных систем под Windows. Он постоянно совершенствуется: авторы ViperSoftX осваивают новые методики скрытности и снабжают свою разработку средствами противодействия анализу, такими как блокировка, побайтовое перераспределение и блокировка браузерных соединений.
Вредоносные программы часто распространяются под видом пиратского ПО через торренты — однако распространение вредоноса под видом электронных книг наблюдается впервые. В конечном счете, потенциальной жертве предлагается скачать не непосредственно файл для букридера, а архив в формате RAR, в котором размещен скрытый каталог и файл-ярлык, имитирующий безвредный документ.
При открытии этого файла начинается многоступенчатый процесс заражения: на первом этапе распаковывается и запускается код PowerShell, который раскрывает спрятанный каталог и устанавливает в системе свои средства постоянства присутствия; затем запускается скрипт AutoIt, который взаимодействует с фреймворком .NET CLR с тем, чтобы расшифровать и запустить второй скрипт PowerShell – собственно, тело самого ViperSoftX.
Первый в мире компьютерный вирус: