Миналата седмица ви разказахме за открития от Trend Micro файлов инфектор с разширени възможности, който се разпространява в Мрежата, заразявайки машини. Вчера пък Symantec
съобщиха за забелязан от тях файлов инфектор, който атакува системите в Интернет. Но какво е особеното в този, че Symantec отделят специален пост в блога си? Първо е нужно да кажем, че става дума за малуер от семейството на
W32/Expiro (по дефиниция на Sophos) или
W32.Xpiro.D (по дефиниция на Symantec конкретно за разглежданата малуер проба). Особеното при откритата малуер проба е нейната крос-платформеност (един 32-битов вариант на малуера има способността да зарази 64-битов изпълним файл и обратното) и устойчивост.Джийт Морпариа (Jeet Morparia) от Symantec споделя, че вариантът на малуера има способността да заразява следните архитектури:Intel 386 (32-bit)Intel 64 (64-bit)AMD64 (64-bit)Що се отнася до другата особеност на малуера - неговата устойчивост, то Морпариа споделя наблюдението, че макар и файловите инфектори да заразяват другите файлове, те не са особено устойчиви и затова често тяхното откриване и елиминиране не е толкова сложно. Преди да започне да инфектира файловете, малуерът регистрира всички услуги, които действат на машината и се опитва да зарази файловете, които се грижат за тези услуги. Следват линковите файлове (.lnk), които се намират на десктопа на атакуваната машина, а също така се насочва към старт-папката, за да зарази файловете на прицел. Той се прицелва в тях поради това, че вероятността те да се стартират със системата е най-голяма. Следва и заразяването на изпълнимите файлове - това включва устройства обозначени с букви от C до Z, независимо дали са част от локални, преносими или мрежови устройства.Подобно и на малуер варианта разгледан от TrendMicro и тук малуер пробата е натоварена с функционалност за крадене на данни, като методите за това са особено интелигентно замислени. При попадането си на системата, той пуска и две разширения - едното предназначено за браузъра на Mozilla Firefox, другото - за Chrome, като това за Firefox остава скрито, а това за Chrome бива именувано Google Chrome 1.0, с което то успява да мине за чисто приложение и прикрие съществуването си. Какви са функционалностите на разширението за Firefox:
- прикрива присъствието си;- понижава настройките за безопасност на браузъра;- шпионира действията на потребителя;- краде данни от логовете на приложението;- пренасочва браузъра към предварително изготвени адреси.Когато потребителят се опита да обнови браузъра или разширенията на него, обновяването пропада, тъй като Xpiro замества адреса на сървъра за ъпдейт с локалния IP адрес, 127.0.0.1.
Освен деактивирането на вградената в браузъра фишинг защита, малуерът успява да деактивира и много предупредителни съобщения. Особеностите на разглеждания малуер вариант го правят изключително труден за премахване, а пораженията оставени от него могат да имат сериозни последствия за притежателя на компрометираната система. Именно затова, потребителите са длъжни да поддържат приложенията си винаги обновени, особено браузърите и да имат инсталирана на системата си антималуер програма, като за предпочитане това да не е само антивирусно приложение, а интегриран пакет за сигурност (или антивирусна програма и двупосочна защитна стена), който притежава няколко защитни модула, които отговарят за различни сектори на защитата - реалновремеви файлов скенер, уеб скенер, защитна стена, фишинг защита и др.Повече за откритието на Symantec
тук.
