سجلت شركة "إسيت" خلال الأسبوع الماضي تحولاً في سلوك برمجية Nemucod تمثل بالانتقال من تحميل برمجيات انتزاع الفدية إلى تحميل برمجية Kovter الخبيثة للضغط على الإعلانات. أما الآن، فيبدو أن القائمين على برمجية التحميل سيئة السمعة قد تمادوا في اتخاذ خطوة إضافية في إطار سعيهم لإلحاق الضرر بالمستخدمين من خلال إرسال حزمة خبيثة متكاملة – برمجيات انتزاع الفدية بالإضافة إلى برمجيات الضغط على الإعلانات. وتماماً كالمرات السابقة، يستقبل المستخدم المستهدف رسالة بريد إلكتروني مع مرفقات مصابة تحمل ملفاً تنفيذياً من امتداد.js – وهو برمجية التحميل. وبعد فك الضغط والتشغيل، تقوم البرمجية بتحميل 5 ملفات في آن معاً. ويعمل أول ملفين من هذه الملفات كبرمجيات للضغط على الإعلانات اكتشفتهما «إسيت» كبرمجيات Win32/Kovter وWin32/Boaxxe. إلا أن هذا الأمر كان مجرد البداية فقط، حيث تمتلك الملفات الثلاثة المتبقية هدفاً واضحاً للغاية يتمثل بالعثور على أهم الملفات وأكثرها قيمةً على جهاز الكومبيوتر وتشفيرها. ومن أجل تشغيل برمجية انتزاع الفدية، قامت Nemucod بتثبيت مترجم لغة PHP ومكتبة PHP إضافية (هذان الملفان لا يحتويان أي فيروسات). وفقط عند اكتشاف «إسيت» للملف الثالث، يتم تحميل فيروس تشفير الملفات PHP/Filecoder.D ليبدأ بتنفيذ أنشطته الخبيثة باستخدام مفتاح تشفير ضمني موجود ضمن البرمجية الخبيثة. وكنتيجة لذلك، يتم تشفير ملفات من 120 نوعاً مختلفاً من الامتدادات، ومن ضمنها ملفات «مايكروسوفت أوفيس»، والصور، والفيديو، والملفات الصوتية، وغيرها من الملفات التي تحصل جميعها على لاحقة «crypted». وبعد إنهاء برمجية انتزاع الفدية لعملية تشفير الملفات، تقوم برمجية Nemucod بإنشاء ملف نصي يحتوي رسالة طلب الفدية. وفي النهاية، تتم إزالة مترجم لغة PHP والمكتبة المرفقة وبرمجية تشفير الملفات من النظام. وعند النظر إلى بقية الملفات الموجودة في الحزمة، تبين وجود برمجية Boaxxe التي تعتبر برمجية تسلل (backdoor) خاضعة للتحكم عن بعد وقادرة على تحميل وتشغيل أو تثبيت الإضافات في متصفحات الويب الشهيرة من أمثال «جوجل كروم» و»فايرفوكس». وفوق هذا كله، تقوم برمجية حصان طروادة هذه بالاتصال مع خادم أوامر وتحكم (C&C) ما يسمح للمشغل بإساءة استخدام الجهاز المصاب كخادم وكيل، ربما كوسيلة لإدراج إعلانات احتيالية أو زيادة حركة المرور لبعض المواقع المختارة. كما لوحظ نشاط آخر مثير للاهتمام لبرمجية Nemucod خلال نهاية الأسبوع في أميركا اللاتينية؛ حيث قامت برمجية تحميل الفيروسات هذه بإرسال كميات كبيرة من فيروس Win32/Spy.Banker.ADEA إلى المستخدمين البرازيليين.;