В Сети зафиксирована вредоносная кампания с иcпользованием Zbot

Недавно в Сети была зафиксирована новая вредоносная кампания с использованием вируса Zbot. В рамках компании распространялись уведомления для клиентов компании Berkeley Futures Limited. Имя предприятия настоящее, но сообщения ложные. В письме был прикреплен файл с расширением.zip, защищенный паролем. Пароль к файлу был указан в теле письма.

Это должно было стать предупреждающим знаком для пользователей Сети. Файл расшифровывался после введения пароля. Так как файл защищен был паролем, антивирусные программы не могли просканировать его на наличие вредоносов. 

Прикрепленный файл включает в себя еще два. Один из них с расширением .scr, другой – .pdf. Изначально файл отображается с расширением .zip, но на самом деле он имеет расширение .rar. Это можно обьяснить тем, что вирусописатели хотели обойти сканирование антивирусной программой, так как вредоносное ПО с расширением .rar встречается намного реже.

Исполняемый файл с расширением .scr является трояном и обращается к российскому IP-адресу 62.76.43.110 и загружает файл «1.exe» размером 220 Кб, который имеет значок компании Amazon. Обнаруженный файл является вредоносным ПО Zbot, которое после запуска пытается соединиться с другим российским IP-адресом. Однако соединение установить не удается. Напомним, что основной целью вредоноса Zbot является похищение финансовых средств.