Обнаружен новый IRCBot-паразит

Судя по данным статистики современный мир вредоносных программ состоит из разнообразных троянцев: бэкдоров, загрузчиков, дропперов и т.п. Мы все еще обнаруживаем некоторое количество создаваемых киберхулиганами новых классических компьютерных вирусов, но иногда нам встречаются образчики интеграции старых вирусных технологий в более серьезные современные вредоносные программы.

Почти год назад мы обнаружили Tenga, классический компьютерный вирус с функционалом червя и троянца-загрузчика.

А недавно мы добавили в наши базы детекшен для еще одного похожего вируса — Virus.Win32.Virut.4960. Несмотря на то, что её название звучит не слишком красиво, это довольно интересная вредоносная программа.

Подобно Tenga, Virut.4960 является классическим «дописывающимся» вирусом. Он заражает EXE- и SCR-файлы, дописывая в них свой зашифрованный код.

Самое интересное заключается в том, что дописываемый код содержит в себе функционал IRCBot. Когда пользователь запускает зараженный файл, то «дописанный» в него IRCBot пытается соединяться с определенным IRC-сервером.

Функции этого IRCBot весьма ограничены, он может всего лишь скачивать файлы, определяемые злоумышленником. Но даже подобной скромной функциональности достаточно, чтобы на пораженный компьютер проникли другие вредоносные программы.

Подобная стратегия атаки обладает несколькими очевидными преимуществами, основным из которых является то, что детектировать такую атаку смогут только антивирусные сканеры. Такая вредоносная программа сможет, например, «обойти» антишпионские решения, которые не содержат полноценного антивирусного движка и потому не способны детектировать и лечить зараженные исполняемые файлы.

Хоть подобный подход и нельзя назвать общепринятым, очевидно, что он будет развиваться, поскольку позволяет обманывать большинство антишпионских программ.