Командою CERT-UA було проаналізовані наступні файли, які були задіяні в масовій розсилці банківського трояна Zeus:
7f21f830f0ecc7ab24496476136a8201 Доручення та рахунок 321 від 21 серпня 2017р.rar
https://virustotal.com/#/file/ae694861beaf93e8f79ed4ccdc0a67b49ef78fb246cf2d015eef5a9afb588fd0/detection
50cd476b7b41cecce729b0d0df83564b 1.rar
https://virustotal.com/#/file/d7aa453b1ad09fcb5c8032c59a2b32241c1fdbcfa5c7e8835dc9f17a101ac664/detection
Архів містив наступні файли:
bf516673f341c43adbdcd79938d229e8 pax_321.js
091f82ed4427eed7f009da2cb313e6c9 Рахунок.js
247ffdd07a7cc0008c7d4574249b8a02 Довідка.pdf #goodware
38336c0b8938632458e933f20fc29169 реквізити.doc #goodware
Даний js-файл позиціонувався як завантажувач, який мав на меті підвантажити exe-файл с наступних URL:
hxxp://marianyindianshop.ru/ico/load.exe
hxxp://crystalmind.ru/versionmaster/nova/load.exe
hxxp://nolovenolivethiiswarinworld.com/ico/load.exe
hxxp://cfm.com.ua/awstats/load.exe
https://virustotal.com/#/file/0885905c9997f003dfac42232a2f4b38b7f6a8773bdd6cdbc6386b28d1357109/detection
Після попереднього аналізу даного файлу вдалося виянити, що це був завантажувач SmokeLoader, який підвантажував на інфікований комп’ютер банківське ШПЗ Zeus з одного з наступних URL:
hxxp://kantslerinborisinafrolova.ru
hxxp://contsernmayakinternacional.ru
hxxp://soyuzinformaciiimexanikiops.com
Рекомендації:
-заблокувати запуск JS-файлів
-заблокувати архіви, що містять JS-файли
-заблокувати доступ до вищезазначених доменів

Источник: cert.gov.ua