Nemim: второе пришествие

Вредоносное ПО, известное под названием Nemim, активно атакует пользователей компьютеров на операционных системах Windows. Центры эпидемии находятся в США и Японии, однако множественные случаи заражения зафиксированы уже в и в Европе и Индии.

Такую информацию распространила компания Symantec. Именно специалисты этой компании впервые обнаружили и описали Nemim еще в 2006 году. Однако нынешняя версия зловреда заметно усовершенствована с тем, чтобы причинять больше вреда и тщательнее маскироваться от средств защиты.

Как сообщил в блоге Symantec, один из исследователей компании Сатнам Наранг, многие обнаруженные образцы Nemim подписаны похищенными цифровыми сертификатами. Таким образом, при установке Nemim, системы пользователей принимают зловред за легитимное ПО. Главный источник распространения программы – вложения в фишинговых сообщениях электронной почты.

После установки Nemim собирает данные об учетных записях системы. Главной его целью являются учетные записи и пароли пользователей в браузерах и агентах электронной почты, включая Internet Explorer, Firefox, Chrome, Outlook и Windows Mail. Также программа похищает информацию об учетных записях и паролях в интернет-мессенджерах – в частности, Google Talk и Windows Live Messenger.

Исследователи пока затрудняются назвать изначальный источник атаки Nemim. Однако, они обращают внимание на сходство нынешней версии вредоносной программы с трояном Egobot, использованным несколько ранее в направленных кибератаках против ответственных руководителей крупный южнокорейских компаний. В обоих случаях используются схожие алгоритмы сбора и шифрования похищенной информации. Кроме того, и Nemim, и Egobot обладают встроенным механизмом, который позволяет хакерам удалять вредоносное ПО из систем пользователей, скрывая факт состоявшейся атаки.