Вредоносное ПО: мастера маскировки

  Эксперты по IТ-безопасности сообщили об обнаружении первого образца вредоносного ПО, модифицирующего системы обновления легитимных программных продуктов. Это направление развития вредоносных кодов считается новым и представляет дополнительную опасность для пользователей.   Вредоносный код, инфицирующий Windows-ПК, маскируется под систему обновления Adobe Systems или системы обновления виртуальных машин Java. Образец такого кода был обнаружен специалистами вьетнамской IТ-компании Bach Khoa Internetwork Security (BKIS).

  В BKIS представили образцы программ, полностью имитирующие Adobe Reader 9 Updater. Код переписывает файлы AdobeUpdater.exe, которые регулярно проверяют обновления для продуктов Adobe. Новый код способен полностью незаметно от пользователя загружать другие вредоносные программы для управления компьютером. В BKIS отмечают, что в последние месяцы программы Adobe стали основной мишенью хакеров и вполне логично, что новый код уже начал эксплуатировать эту особенность в своих интересах.   «Доктор Веб» обращает внимание пользователей на широкое распространение троянцев семейства Trojan.Oficla, количество детектов которых в неделю составляет уже более 100.000. При заражении ПК они скрывают свою вредоносную активность, создавая процесс winword.exe (если в системе установлен Microsoft Word).

В дальнейшем Trojan.Oficla включает компьютер в ботнет и позволяет злоумышленникам загружать на него другое вредоносное ПО. На сегодняшний день Trojan.Oficla (известный также под названием myLoader) активно распространяется по электронной почте вместе со спамом, а также используя уязвимости браузеров. Возможно, что в будущем злоумышленники воспользуются и другими каналами распространения вредоносного ПО для того, чтобы расширить круг жертв Trojan.Oficla.  Помимо этого, различные модификации данного троянца предлагаются на специализированных сайтах и форумах другим злоумышленникам по цене от $450 до $700.

  С помощью Trojan.Oficla киберпреступники могут сформировать собственный ботнет, что и подтверждается обнаружением большого количества установленных модулей администрирования бот-сетей, расположенных на различных сайтах.   После заражения системы владельцы ботнета, формируемого Trojan.Oficla, получают возможность контролировать ПК жертвы.

В частности, они могут загружать, устанавливать и использовать на нем практически любое вредоносное ПО.   Наряду с этим функционалом Trojan.Oficla обладает возможностью обходить различные антивирусные решения и популярные брандмауэры. Для этого может использоваться исполняемый файл winword.exe, если Microsoft Word установлен в системе. Скрываясь за данным процессом, Trojan.Oficla отводит от себя подозрения и затрудняет анализ зараженной системы. Если же MS Word отсутствует, Trojan.Oficla внедряется в системный процесс svchost.exe.

Специалисты по информбезопасности постоянно мониторят ситуацию, связанную с развитием и распространением вредоносных программ семейства Trojan.Oficla. Пользователям для противодействия этому троянцу рекомендуется включить автоматическое обновление вирусных баз и компонентов своих антивирусов, а также производить периодическое сканирование дисков защищаемых компьютеров.  