Производители антивирусов предупреждают о новом «черве»

Производители антивирусов предупреждают о новом «черве»

Новый червь, использующий программы обмена мгновенных сообщений (IM), был замечен с использованием ряда эволюционных методов способных обойти установленные программы обеспечения безопасности и поймать даже подозрительных пользователей врасплох.

По данным BitDefender, изворотливость Backdoor. Tofsee начинается с его избирательности – он поражает только компьютеры с запущенными Skype или Yahoo Messenger, и оставляя другие не инфицированными.

Если случайно попадается пользователь работающий с одним из этих приложений, он начинает проверять нет ли в целевой системе виртуальной машины, через которую исполняется подозрительный код. Эта техника безопасности используются некоторыми, но не всеми антивирусными системами. Опять же, если такая защита обнаружена, червь прекращает свою работу.

Кроме того, в качестве резервного средства, он пытается подорвать систему обнаружения виртуальной машины порождая множество дочерних «подозрительных» процессов в памяти. Затем он завершает основной процесс, который может быть обнаружен системой безопасности.

Не ясно, насколько успешна эта тактика, создание дочерних процессов не сможет позволить червю оставаться недоступным для системы отладки, но на первый взгляд это похоже на хорошо продуманную атаку на текущую безопасность виртуальной машины.

На этом этапе червь имеет «последнюю линию обороны», код устанавливает руткит, который пытается скрыть свои собственные файлы и блокировать доступ к ряду интернет адресов: производителей антивирусов, поддержки и форумов, а также систему обновления Windowse. Это более стандартная методика, но не менее эффективная, если червь находит дом на компьютере.

Также код использует «умную» тактику дальнейшего распространения после первоначального заражения. Вместо того чтобы просто открыть сессию с контактами, найденными в адресной книге зараженного пользователя, он ждет начала разговора, прежде чем отправить в окно чата вредоносные ссылки.

Стандартный способ распространения через программы мгновенного обмена сообщениями состоит в том, чтобы открыть сеанс чата со случайными контактами. Это более сложный метод будет иметь гораздо больше шансов поймать пользователей Skype и Yahoo врасплох.

Backdoor-Tofsee также может подстраивать свои сообщения на ряд языков, в том числе английский, испанский, немецкий, голландский, итальянский и французский, в зависимости от того, на каком общаются пользователи.

После всего этого, конечная цель червя почти обычная. Как и почти все вредоносные программы типа трояна, он пытается получить контроль над системой для одной из ряда своих целей. Использование Skype и Yahoo Messenger является лишь удобным каналом.


Карта сайта


Информационный сайт Webavtocat.ru