Эксперты по компьютерной безопасности засекли новое вредоносное приложение,
которое размещает копию самого себя в файл справки Windows, что позволяет ему
повторно заражать компьютеры жертв даже после их лечения.
Троян, получивший от антивирусной лаборатории McAfee обозначение Muster.e,
поражает файл Windows, имеющий название imepaden.hlp, в котором он до поры до
времени хранит зашифрованные копии своих основных компонентов. В случае если
действующая копия трояна удаляется антивирусными средствами, работающий в
качестве службы Windows установщик компилирует спрятанные компоненты в
исполняемый файл upgraderUI.exe и запускает его.
Этот метод позволяет вирусу восстанавливать работоспособность даже после
того, как большая часть его компонентов удалена с компьютера, а пользователи
зачастую просто не в состоянии понять, почему их ПК постоянно инфицируется одним
и тем же трояном.
Впрочем, это неудивительно – необычность Muster.e признали даже обнаружившие
его исследователи, сообщившие, что ранее ни с чем подобным не сталкивались.
Более полное описание вируса доступно
здесь.
