Исследователи из вьетнамской компании BKIS зафиксировали появление новых вредоносных программ, маскируемых под диспетчер обновлений популярных приложений — Adobe, DeepFreeze, Java, Windows и пр.
Новичков трудно обнаружить, так как, подменяя легальный файл, зловред имитирует его иконку, имя и даже описание версии, включая наименование разработчика. При запуске он активирует DHCP-клиент, DNS-клиент, доступ к общим папкам и открывает порт для получения удаленных команд от злоумышленника. В результате пользователь не только теряет контроль над своим ПК, но и лишается возможности автоматически обновлять установленные на нем полезные приложения — даже после очистки от инфекции.
Вьетнамские исследователи присвоили новым зловредам наименование W32.Fakeupver.trojan. ЛК детектирует их как Backdoor.Win32.VB.ldq.
По свидетельству BKIS, данные троянцы являются результатом эволюции вредоносных программ, замещающих критически важные файлы. Однако до сих пор такие зловреды, проникнув на компьютер, создавали резервные копии подменяемых файлов, чтобы после своего выполнения не вызвать сбой системы. Если в процессе лечения удалить зараженный файл и восстановить оригинал, система не пострадает.
Fakeupver подменяет лишь программы, отвечающие за регулярное обновление ПО, поэтому не нарушает нормальную работу системы. Но при этом он удаляет исходный файл без сохранения его функционала, лишая систему возможности поддерживать необходимый уровень защиты от интернет-угроз.
Троянец в овечьей шкуре