Меню
Поиск

Обнаружено вредоносное ПО, поражающее ПК, не создавая файлы на жестком диске

21 март, 2012 - 13:35

Исследователи «Лаборатории Касперского» сообщили о появлении троянской программы, которая работает, не создавая файлов в зараженной системе. Для распространения вредоносного кода использовалась тизерная сеть, включающая популярные российские новостные ресурсы.

В начале марта от независимого эксперта была получена информация о заражении компьютеров в корпоративной сети после посещения веб-страниц известных СМИ, после чего, в отдельных случаях, на диск загружались шифрованные файлы. Исследование показало, что инцидент был вызван троянской программой, а заражению подвергались пользователи сайтов, использующих на своих страницах тизеры сети, организованной с помощью технологий AdFox — при загрузке одного из тизеров браузер перенаправлялся на вредоносный сайт с Java-эксплойтом (CVE-2011-3544). Вредоносная программа не загружалась на жесткий диск, а работала только в оперативной памяти компьютера, отправляла на управляющий сервер запросы и хранящуюся в браузере историю посещения сайтов. Полученные данные анализировались, и, если выяснялось, что пользователь работает с системами онлайн-банкинга, к нему на ПК устанавливалась троянская программа Lurk для хищения конфиденциальных данных

Источником заражения служила не сама сеть AdFox — хакеры с одной из ее легальных учетных записей модифицировали баннеры, добавляя в их код ссылки на вредоносный сайт, что позволило атаковать посетителей многих ресурсов. По оценке экспертов, за несколько месяцев троянской программе удалось внедриться на ПК около 300 тыс пользователей.

Очевидным недостатком вредоноса является то, что избавиться от него довольно просто — достаточно перезагрузить ПК. Злоумышленники, очевидно, учли, что вероятность повторного попадания на зараженный новостной сайт, достаточно высока. Эксперты «Лаборатории Касперского» указывают на то, что выявленный троянец имеет много общего с червями Сode Red и Slammer, появившимися около 10 лет назад и атаковавшими отдельные приложения Microsoft, используя метод переполнения буфера.