Представители команды «Доктор Веб» посоветовали пользователям Windows быть внимательнее, поскольку злоумышленники начали распространять троян Kovter, заражающий эту ОС. Он относится к классу «бестелесных». Такое вредоносное ПО не присутствует на инфицированном компьютере в качестве отдельного файла, а хранится в определенном контейнере.
Главная особенность вируса – он работает в RAM устройства, поэтому не сохраняет копию на винчестер. Это усложняет поиск и устранение трояна на компьютере. Он располагается в реестре ОС, где после заражения создает две записи: первая включает тело Kovter, а вторая – скрипт, который расшифровывает зловред и загружает его в RAM. Поскольку в их именах содержатся нечитаемые символы, с помощью стандартной команды «regedit» увидеть эти записи невозможно.
Kovter – это рекламный троян, который при инфицировании компьютера запускает в фоновом режиме без ведома юзера несколько копий нативного браузера Internet Explorer. Через них зловред посещает сайты, которые указаны злоумышленниками, и увеличивает количество просмотров рекламных роликов, переходя по ссылкам и баннерам. Это позволяет преступникам получать денежные бонусы от участия в партнерских программах.
Интересно то, что для инфицирования компьютеров Kovter’ом используется другой троян – MulDrop6. Для усложнения анализа злоумышленники внесли в него огромное количество случайных строк и вызовов функций, а главная библиотека вируса выдает себя за картинку. Еще одна особенность MulDrop6 – он способен действовать как червь, копируясь в корневые папки системы на всех подключенных к устройству дисках и создавая на них файл autorun.inf для автозапуска.
