Кой е вирусът, завладял България на 6 октомври

Повече от 18 на сто от опитите за заразяване с вируси в България на 6 октомври са дело на един вирус. Става дума за JS/TrojanDownloader.Nemucod - нов вариант на добре позната заплаха и е един от най-зловредните кодове, които се разпространяваха с масовия фишинг имейл, разпратен вчера от името на Националната агенция за приходите.

По разпространение той се нарежда на второ място през същия ден, изпреварен единствено от JS/Danger.ScriptAttachment, който е отговорен за 34,83% от опитите за зараза. Така може да се окаже, че вирусите, разпространявани с подобни писма, може да са повече от един, твърдят от компанията, предлагаща решения за киберсигурност, CENTIO Professional IT Security.

Това, което е общо между двата кода, е тяхното действие. Инициира се свалянето на payload – активната част на вируса, т.е. с отварянето на документа от „НАП“, потребителят инициира сваляне на активната част на вируса. По поведението си тя много прилича на cryptolocker – зловреден код, който криптира файловете на заразената машина. Към момента линкът, от който трябва да бъде свалена активната част, е неактивен, което обаче може да се промени всяка секунда.

Самата атака беше осъществена на 6 октомври, след което потребители подадоха множество оплаквания, че са получили писмо. Негов привиден подател е НАП и привидно писмото съдържа Уведомление относно промени в регламента за подаване на декларации към НАП.

Текстът е написан на перфектен български и идва от различни домейни. Единият от тях е чешкият ddzsliptal.cz. Сайтът е на детски дом и предучилищна, които са разположени в селцето Липтал в Югоизточна Чехия. Жителите му са общо 1400.
Прикаченият файл в писмото на практика инициира свалянето на криптовируса.

Вариантът на Nemucod, който е бил разпространен с писмото, е нов и до момента не е бил познат. Засичането му за първи път обаче не се случва у нас, а в Китай.