Вредоносное программное обеспечение устанавливается при посещении вредоносного веб-сайта. Как выяснилось, им является новая модификация Kovter — ранее известного приложения, с помощью которого злоумышленники устанавливают трояны и программы-вымогатели и накручивают клики на объявления.
Внедрение в систему
После загрузки и запуска Kovter помещает в различные разделы реестра Windows скрипт, который запускает PowerShell.exe. Скрипт помещается в закодированном виде. После того как аналитики раскодировали его, они обнаружили в нем другую закодированную программу Powershell, предназначенную для внедрения шелл-кода в систему (шелл-код - это программа обладающая низкоуровневым доступом к операционной системе).
Пользователи Firefox атакованы новым вирусом