PandaLabs зафиксировала рост числа заражений вирусом Sality.AO

image

Теги: PandaLabs, вирус, троян, вредоносный код

PandaLabs зафиксировала за последние дни рост числа инфекций вирусом Sality.AO, а также случаи заражения новыми вариантами данной угрозы при использовании подобной технологии. В связи с этим лаборатория PandaLabs советует пользователям быть готовыми к возможной массовой атаке.

PandaLabs зафиксировала возрастаниечисла инфекций вирусом Sality.AO, а также случаи заражения новыми вариантами данной угрозы при использовании подобной технологии. В связи с этим лаборатория PandaLabs советует пользователям быть готовыми к возможной массовой атаке.

Вредоносная программа Sality.AO сочетает опасные инфекционные технологии старых вирусов с новыми приемами, направленными на получение финансовой выгоды мошенническим путем.

Вирус Sality.AO использует некоторые технологии, которые не наблюдались уже давно, такие как аварийное обесточивание (EPO) или резонатор (Cavity). Данные технологии связаны со способом видоизменения исходного файла для его заражения, тем самым значительно усложняя процессы обнаружения этих изменений и восстановления файлов. Аварийное обесточивание позволяет части правильного файла запуститься до начала заражения, из-за чего обнаружить вредоносное ПО становится трудной задачей. При помощи резонатора происходит встраивание кода вируса в пустые области нормального файла, что делает сложным обнаружение и восстановление зараженных файлов.

Эти технологии намного сложнее тех, которые можно реализовать с использованием автоматизированных инструментов для создания вредоносного ПО, при помощи которых за последнее время стремительно увеличивается количество Интернет-угроз. Технологии, используемые для вируса Sality.AO,  предполагают наличие у вирусописателей больших навыков и глубоких знаний при программировании вредоносного кода.

Кроме технологий, встречающихся в старых вредоносных кодах, Sality.AO содержит серию характеристик новых вредоносных направлений, такие как соединение через IRC-каналы для получения удаленных команд, что потенциально позволяет превратить компьютер в «зомби». Впоследствии подобные компьютеры-зомби могут использоваться для рассылки спама, распространения вредоносного ПО и DOS-атак и пр.

В данном случае инфекции ограничиваются не только заражением файлов, как в случае со старыми вирусами, но также призваны распространяться в Интернете для решения других задач. В частности, данный вирус использует iFrame для заражения на компьютере PHP, ASP и HTML-файлов. В результате запуска любого из этих файлов браузер без предупреждения осуществляет переадресацию пользователя на вредоносную страницу, которая загружает на компьютер эксплойт, позволяющий в перспективе загрузить на данный компьютер другие вредоносные программы. Если любой из этих файлов разместить на Web-странице, принимая во внимание их способ загрузки на компьютер, то каждый пользователь, который скачивает файлы или зайдет на данную страницу, сразу же будет заражен.

Специалисты лаборатории PandaLabs относят файл, загружаемый при помощи данной технологии,  к гибридам вредоносного ПО, которые сочетают в себе черты троянов и вирусов. Кроме того, троян имеет функции загрузки файлов, что позволяет ему осуществлять серию загрузок на компьютер других вредоносных файлов. URL-адреса, которые используют подобный загрузочный файл, на момент анализа лабораторией PandaLabs не работали, но согласно исследованиям компании Panda Security они способны активироваться, так как количество зараженных компьютеров возрастает.


или введите имя

CAPTCHA
Гость
20-02-2009 13:29:23
Аварийное обесточивание (EPO) - наверное следует понимать как Entry Point Obscuring. Резонатор (Cavity) следует понимать как производное от Cave (следы выравнивания секций в имидже, позволяющие в эти "пещеры" поместить код), иначе говоря "размазывание" кода. Но явно не "резонатор" и "аварийное обесточивание".
0 |
34008
20-02-2009 13:41:25
Эти технологии намного сложнее тех, которые можно реализовать с использованием автоматизированных инструментов для создания антивирусного ПО, поэтому за последнее время стремительно увеличивается количество Интернет-угроз. Добавить комментарий? Подписка на RSS?
0 |
sgib
20-02-2009 16:03:29
Технологии, используемые для вируса Sality.AO, предполагают наличие у вирусописателей больших навыков и глубоких знаний при программировании вредоносного кода.Учиться, учиться и еще раз учиться. <Если не спорить с современными учебниками по истории, то приписывают Ленину>
0 |
вермутЪ
23-02-2009 11:15:06
"...военному делу настоящим образом" (с) В.И. Ленин. Так что, дарагой, кирзачи тебе в помощь.
0 |