Если вредонос оказывается на виртуальной машине или в «песочнице», он удаляет себя.
Специалисты компании Malwarebytes Labs проанализировали новую версию многофункционального вредоносного ПО Neutrino Bot, также известного как Kasidet, которая распространяется посредством набора эксплоитов с одноименным названием.
В ходе исследования эксперты обратили внимание на многослойную защиту, призванную предотвратить обнаружение вредоноса. Оказавшись на системе, Neutrino Bot перехватывает сетевой трафик, проводит проверку на предмет наличия антивирусов, а также с помощью обфусцированного кода JavaScript определяет, на виртуальной машине он или нет. Если вредонос оказывается на виртуальной машине или в «песочнице», он удаляет себя.
После завершения проверки вредонос запускает специально сформированный Flash файл, содержащий ряд эксплоитов для уязвимостей в Internet Explorer и Flash Player. На финальном этапе загружается и исполняется зашифрованная полезная нагрузка для обхода прокси.
Neutrino Bot размещает свою копию в скрытой папке %APPDATA%/Y1ViUVZZXQxx/<random_name>.exe, а также добавляет и модифицирует ряд ключей в реестре Windows для того, чтобы избежать обнаружения пользователем. Кроме того, вредонос добавляет свою копию в белый список межсетевого экрана, а также отключает функцию отсылки данных об инцидентах в Microsoft SpyNet.
Если процесс установки проходит успешно, Neutrino Bot загружает основной вредоносный модуль, а затем связывается с C&C-сервером и ожидает команды от оператора. Вредонос способен осуществлять DDoS-атаки, работать в качестве кейлоггера, делать снимки экрана, подменять DNS-запросы, а также загружать дополнительное вредоносное ПО.