Autorun-черви по-прежнему актуальны

В конце ноября многие эксперты зафиксировали значительный рост числа детектов VBNA ― семейства полиморфных червей, использующих функцию автозапуска Windows для сменных носителей.

В Windows 7 эта функция отключена по умолчанию с апреля 2009 г., в XP и Vista ― с февраля 2011 г. Хотя выпуск долгожданного патча не замедлил дать хорошие результаты, многие пользователи до сих пор не удосужились его установить, оставляя открытой лазейку, активно используемую autorun-зловредами.

Червь VBNA, известный также под именами Changeup и VOBFUS, ― угроза отнюдь не новая. Он создает свои копии на локальных и доступных для записи съемных дисках, способен загружать из Сети других зловредов, а некоторые варианты VBNA к тому же блокируют Windows Update, препятствуя обновлению системы. По свидетельству экспертов, новейшая версия червя именует свои копии Porn.exe, Sexy.exe, Passwords.exe и Secret.exe. Кроме того, она создает свои копии с именами всех папок и файлов на диске, снабжая зловредных дублеров иконками стандарта Windows 7. При этом оригиналам присваивается атрибут «скрытый», а в реестре устанавливается запрет на отображение скрытых файлов и папок. Если у пользователя к тому же включена опция «скрывать расширения для зарегистрированных типов файлов» (дефолтная настройка для всех версий Windows), активация вредоносного кода вместо полезного файла практически неизбежна.

После запуска червь подключается к C&C серверу на порту 9003 (как вариант 9004) для получения команды на загрузку и URL источника. Ассортимент этих загрузок весьма широк, от TDSS и фальшивых антивирусов до троянских бэкдоров и даунлоудеров. С конца минувшего месяца обновленный VBNA усердно работает на распространителей р2р-версии ZeuS, известной как Gameover. Установлено, что троянец, загружаемый червем, сохраняется в каталоге профиля текущего пользователя под именем google.exe. Некоторые сайты, которые используются злоумышленниками для дополнительных загрузок, уже недоступны.

Замечено, что новый VBNA распространяется через Facebook или подгружается тем же Gameover. Последний в настоящее время агрессивно раздается через спам, исходящий с ботнета Cutwail. Спам-письма с вредоносным вложением рассылаются от имени американских банков и повествуют о новом защищенном канале, якобы открытом для пересылки конфиденциальной информации. Вместо «шифрованного сообщения», якобы присланного на пробу, вложенный файл с двойным расширением содержит программу-даунлоудер, которую операторы ZeuS обычно используют для его загрузки. В данном случае ZeuS/Gameover, в свою очередь, загружает и запускает VBNA, поддерживая опасный симбиоз. По мнению экспертов, наблюдаемый рост популяции autorun-червя вполне может быть следствием масштабной кампании по засеву Gameover.

Наибольшее количество новых заражений VBNA обнаружено компанией Symantec в Индии и Мексике, немногим менее ― в США, Канаде, ЮАР и на Филиппинах.