Описание вредоносного ПО

Обнаружен новый IRCBot-паразит

Судя по данным статистики современный мир вредоносных программ состоит из разнообразных троянцев: бэкдоров, загрузчиков, дропперов и т.п. Мы все еще обнаруживаем некоторое количество создаваемых киберхулиганами новых классических компьютерных вирусов, но иногда нам встречаются образчики интеграции старых вирусных технологий в более серьезные современные вредоносные программы.

Почти год назад мы обнаружили Tenga, классический компьютерный вирус с функционалом червя и троянца-загрузчика.

А недавно мы добавили в наши базы детекшен для еще одного похожего вируса — Virus.Win32.Virut.4960. Несмотря на то, что её название звучит не слишком красиво, это довольно интересная вредоносная программа.

Подобно Tenga, Virut.4960 является классическим «дописывающимся» вирусом. Он заражает EXE- и SCR-файлы, дописывая в них свой зашифрованный код.

Самое интересное заключается в том, что дописываемый код содержит в себе функционал IRCBot. Когда пользователь запускает зараженный файл, то «дописанный» в него IRCBot пытается соединяться с определенным IRC-сервером.

Функции этого IRCBot весьма ограничены, он может всего лишь скачивать файлы, определяемые злоумышленником. Но даже подобной скромной функциональности достаточно, чтобы на пораженный компьютер проникли другие вредоносные программы.

Подобная стратегия атаки обладает несколькими очевидными преимуществами, основным из которых является то, что детектировать такую атаку смогут только антивирусные сканеры. Такая вредоносная программа сможет, например, «обойти» антишпионские решения, которые не содержат полноценного антивирусного движка и потому не способны детектировать и лечить зараженные исполняемые файлы.

Хоть подобный подход и нельзя назвать общепринятым, очевидно, что он будет развиваться, поскольку позволяет обманывать большинство антишпионских программ.

Обнаружен новый IRCBot-паразит

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике