Компания Romir выяснила антивирусные предпочтения пользователей
Сеть “В контакте” обогнала “Одноклассников” по посещаемости

PandaLabs зафиксировала рост числа заражений вирусом Sality.AO

PandaLabs зафиксировала возрастаниечисла инфекций вирусом Sality.AO, а также случаи заражения новыми вариантами данной угрозы при использовании подобной технологии. В связи с этим лаборатория PandaLabs советует пользователям быть готовыми к возможной массовой атаке.

Вредоносная программа Sality.AO объединяет опасные инфекционные технологии старых вирусов с новыми приемами, направленными на получение финансовой выгоды мошенническим путем.

Вирус Sality.AO использует некоторые технологии, которые не наблюдались уже давно, такие как аварийное обесточивание (EPO) или резонатор (Cavity). Данные технологии объединены со способом видоизменения исходного файла для его заражения, тем самым намного усложняя процессы обнаружения этих изменений и восстановления файлов. Аварийное обесточивание позволяет доли правильного файла запуститься до начала заражения, из-за чего обнаружить вредоносное ПО становится трудной задачей. При помощи резонатора происходит встраивание кода вируса в пустые области нормального файла, что делает сложным обнаружение и восстановление зараженных файлов.

Эти технологии существенно сложнее тех, которые можно реализовать с использованием автоматизированных инструментов для создания вредоносного ПО, при помощи которых за последнее время стремительно увеличивается количество Интернет-угроз. Технологии, используемые для вируса Sality.AO,  предполагают наличие у вирусописателей больших навыков и глубоких знаний при программировании вредоносного кода.

Кроме технологий, встречающихся в старых вредоносных кодах, Sality.AO содержит серию характеристик новых вредоносных направлений, такие как соединение сквозь IRC-каналы для получения удаленных команд, что потенциально позволяет превратить компьютер в «зомби». Впоследствии подобные компьютеры-зомби могут использоваться для рассылки спама, распространения вредоносного ПО и DOS-атак и пр.

В данном случае инфекции ограничиваются не только заражением файлов, как в случае со старыми вирусами, но также призваны распространяться в Интернете для решения других задач. В частности, данный вирус использует iFrame для заражения на компьютере PHP, ASP и HTML-файлов. В результате запуска любого из этих файлов браузер без предупреждения осуществляет переадресацию пользователя на вредоносную страницу, которая загружает на компьютер эксплойт, позволяющий в перспективе загрузить на данный компьютер другие вредоносные программы. Если любой из этих файлов разместить на Web-странице, принимая во внимание их способ скачивания на компьютер, то каждый пользователь, который скачивает файлы или зайдет на данную страницу, сразу же будет заражен.

Специалисты лаборатории PandaLabs относят файл, загружаемый при помощи данной технологии,  к гибридам вредоносного ПО, которые сочетают в себе черты троянов и вирусов. Кроме того, троян имеет функции даунлоада файлов, что позволяет ему осуществлять серию загрузок на компьютер других вредоносных файлов. URL-адреса, которые используют подобный загрузочный файл, на момент анализа лабораторией PandaLabs не работали, но согласно исследованиям компании Panda Security они способны активироваться, поскольку количество зараженных компьютеров возрастает.

www.securitylab.ru

Опубликовано 20.02.2009 13:21 и размещено в рубрике IT новости. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.
Реклама на сайте: