Антивирусные эксперты выражают озабоченность появлением целого «ансамбля» зловредных программ, которые, поэтапно убивая все средства антивирусной защиты и брандмауэры, установленные на заражённом компьютере, постепенно превращают его в «зомби» для пересылки спама или организации DoS-атак.
Злоумышленники выработали целую «тройственную» стратегию заражения и захвата компьютера: указанные трояны — Glieder, Fantibag и Mitglieder — проникают на компьютер по очереди и отключают конкретные защитные программы, заодно скачивая друг друга с удалённых сайтов.
Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным «Лаборатории Касперского», самостоятельно вирус-троян не размножается, он изначально был разослан по спам-рассылке. Запускается он тоже только вручную — если у пользователя хватит ума открыть и запустить вложенный файл, червь начинает активно безобразничать.
При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe.
Затем червь регистрирует себя в ключе автозапуска системного реестра и изменяет файл %System%\drivers\etc\hosts, перекрывая доступ к длинному списку сайтов, в первую очередь, принадлежащим антивирусным компаниям. Кроме того, червь удаляет из системного реестра Windows ключи антивирусных пакетов и брандмауэров.
По данным антивирусной компании Computer Associates, червь также закрывает процессы антивирусных пакетов и межсетевых экранов и сканирует длинный список адресов, с которых пытается скачать Fantibag и Mitglieder, своих «подельников».
Fantibag блокирует доступ к сайтам, посвящённым сетевой безопасности, и хуже того, интегрирует свой dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в системных процессах. Впрочем, его выдают модифицированные ключи реестра в разделе Run, — оказавшись в системном реестре, он запускается при каждом старте Windows.
Последний из троянов — Mitglieder — работает как средство пересылки почты, при этом он также блокирует некоторые программы и передаёт своим создателям некую информацию, а точнее, в свою очередь, пытается выкачать ещё один троян — Ldpinch — с трёх разных сайтов. По данным F-Secure, Ldpinch с тех сайтов уже удалён.
Антивирусные эксперты предполагают, что подобная «кооперация» между тремя программами имеет целью создание крупной сети компьютеров-«зомби».
По утверждению Саймона Терри, вице-президента по стратегии компании Computer Associates, хакеры используют сети «зомби»-компьютеров для элементарного вымогательства у коммерческих компаний (платите, иначе получите DDoS-атаку). А сами «зомби»-компьютеры — расхожий товар, торговля которым между хакерами осуществляется «на подпольном подобии аукциона Ebay».



Оставить мнение