Троян Kovter получил новый функционал и теперь маскируется под Chrome

Олег Иванов 26 Июля 2016 - 07:46

Домашние пользователи

Windows

Microsoft

Системы защиты личных данных

Трояны

Программы-шифровальщики

...

Троян Kovter получил новый функционал и теперь маскируется под Chrome

За последние недели троян Kovter получил новый механизм укоренения на зараженном компьютере и начал маскироваться под обновления для Chrome, предупреждают исследователи в области безопасности Microsoft.

Киберпреступники постоянно обновляют свои вредоносные программы, чтобы повышать их эффективность, и авторы Kovter преуспели в этом отношении. Так, за последние несколько месяцев они добавили своему детищу функционал шифровальщика, а затем стали маскировать его под обновление Firefox.

Теперь исследователи Microsoft Malware Protection Center (MMPC) утверждают, что авторы трояна добавили ему новый функционал, что делает его обнаружение и нейтрализацию гораздо более сложной задачей для антивирусов.

Kovter, получивший известность как бестелесный троян, теперь генерирует и регистрирует при установке новое случайное расширение файлов. Для этого, вредоносная программа устанавливает определенные ключи реестра, позволяющие вредоносному коду запускаться каждый раз, когда открыт файл с этим расширением.

«Чтобы запуститься на зараженной системе, Kovter нужно, чтобы был открыт файл со специфическим расширением. Если это произошло, запускается вредоносный код» - объясняет эксперт MMPC Duc Nguyen.

Kovter также использует mshta, программу Microsoft для запуска HTML файлов (.hta файлы), для исполнения вредоносного JavaScript. Для того, чтобы вредоносный код постоянно запускался, Kovter создает в разных местах серию мусорных файлов с его специфическим расширением. Учитывая, что вредоносный код содержится в реестре, содержание этих мусорных файлов не имеет значения.

В завершении процесса установки вредоносная программа реализует механизм автоматического запуска, который будет открывать эти файлы. Для этого используется как ярлык, помещающийся в папку автозагрузки Windows, так и .bat-файл, который троян копирует в случайно сгенерированную папку и устанавливает ключ реестра для его запуска.

«Несмотря на то, что Kovter технически не полностью бестелесный, большинство вредоносного кода по-прежнему проводится только в реестре. Чтобы полностью удалить Kovter с зараженного компьютера, антивирусу необходимо удалить все файлы, созданные трояном, а также внести изменения в системный реестр» - объясняет исследователь MMPC.

Другие изменения, произошедшие с этим трояном за последние пару месяцев включают в себя новый механизм маскировки – теперь троян пытается выдать себя за обновление браузера Chrome. Напомним, что раньше Kovter маскировался как обновление Adobe Flash или Firefox. Более того, вредоносная программа теперь использует ряд новых цифровых сертификатов.

Каждый раз, когда злоумышленники распространяют образцы, подписанные новым сертификатом, наблюдается всплеск успешных заражений. По словам Microsoft, последние обновлений трояна были сделаны около 21 мая, 14 июня и в первую неделю июля.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 16:43

Общее

В Петербурге пройдет «АВИАЦИФРА’2026» о цифровизации авиастроения

18–20 марта 2026 года в Санкт-Петербурге состоится вторая ежегодная отраслевая конференция «АВИАЦИФРА’2026», посвящённая цифровым трендам и технологиям в авиастроении. Мероприятие станет международной площадкой для профессионального общения ИТ-специалистов и заказчиков цифровых решений из авиастроительных предприятий, авиакомпаний, аэропортов, органов власти и профильных ИТ-поставщиков.

«АВИАЦИФРА’2026» позиционируется как практическая конференция с фокусом не на концепциях ради концепций, а на поиске прикладных решений, которые помогают повышать эффективность отрасли и снижать технологическую зависимость.

Основная деловая программа запланирована на 19 и 20 марта. Она будет построена вокруг пяти ключевых направлений, охватывающих практически весь жизненный цикл воздушного судна:

управление цифровыми технологиями;
проектирование авиационной техники;
производство авиационной техники;
эксплуатация авиационной техники;
ИТ-инфраструктура и кибербезопасность.

Отдельный акцент в программе сделают на сквозном треке «Цифровая кооперация». Его задача — обсудить, как уйти от разрозненных ИТ-подходов и выстроить связную цифровую среду между всеми участниками производственной цепочки. В центре внимания — концепция «цифровой нити», которая объединяет данные от стадии проектирования до многолетней эксплуатации и позволяет лучше управлять процессами и прогнозировать результаты.

20 марта в рамках конференции пройдёт тематический день ИЦК Авиастроение, ИЦК Двигателестроение и ИЦК БАС. Участникам представят результаты работы индустриальных центров компетенций и практические итоги реализации особо значимых проектов в отрасли.

Кроме того, на полях «АВИАЦИФРЫ’2026» запланированы внутренние стратегические сессии холдинговых компаний авиастроительного комплекса.

Организаторы делают ставку на высокий экспертный уровень дискуссий. В роли модераторов и ключевых спикеров выступят представители центральных офисов и предприятий авиастроительной отрасли — технические директора и руководители по цифровой трансформации крупных холдингов, включая ОДК, ОАК, «Вертолеты России», «Технодинамику», а также главные конструкторы, руководители профильных направлений и представители научных и образовательных центров.

Для сравнения: в конференции «АВИАЦИФРА’2025», которая прошла в Казани, приняли участие более 500 специалистов из 90 организаций, а программа включала 110 докладов по ключевым направлениям цифрового развития авиастроения.

«АВИАЦИФРА’2026» продолжит эту линию, делая упор на прикладной опыт, межотраслевую кооперацию и обсуждение реальных задач цифровизации авиационной промышленности.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »