+1212 голосов |
Давненько не наблюдал столь явного несоответствия между масштабом события и широтой его освещения в Интернет!
Несмотря на то, что показатели степени распространенности, опасности сложности и последствий удаления вредоносного ПО, используемого в комплекте с зарядкой DUO USB Battery Charger, признаны как «низкие» и «очень низкие», весть о том, что производитель химических элементов питания компания Energizer заражает «злостным трояном» своих покупателей, получило самую широкую огласку.
Стоит ли поднятая шумиха выведенного яйца с технических позиций?
ПО предназначено для показа статуса пальчиковых аккумуляторов, установленных в зарядку, подключенную к порту USB компьютера в отдельном окошке. Для этого требовалось инсталлировать небольшую свободно распространяемую программу.
Сообщение об агрессивности «энергичных кроликов» проникло в прессу с подачи US-Cert (United States Computer Emergency Readiness Team). Они же подтвердили заявление холдинга Energizer, что ПО под Mac OS X (в отличие от версии для Windows) опасности не несет.
Первичным источником информации о троянском ПО вероятнее всего стал сайт Symantec, сообщивший, что в результате инсталляции данного приложения модификации подвергается ключ реестра
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\”svchost”,
благодаря чему оно прописывается в загрузке и появляется злополучный файл «arucer.dll», открывающий Backdoor по порту 7777. Далее – «листятся» каталоги пользователя и может готовиться к отсылке файл с приватной информацией.
Активной вредоносной деятельностью троян не отличился – ничего не шифрует, не подменяет основные системные файлы.
«Чистится» ПК от него элементарно просто – удалением файла arucer.dll, находящегося в системной папке /system32.
Таким образом Trojan.Arugizer, как его называет Symantec, или Energizer Bunny (Кролик Energizer), как его поэтично окрестили в прессе – весьма примитивное творение, ничем не «продвинутее» миллионов других образчиков начинающих вирусописателей.
Но «черный ход» он все же открывает, причем его создание (впрочем, как и появление на рынке самого Duo Charger, Model CHUSB) датируется 2007 годом.
Поэтому данное "событие" вызвало ряд несколько других вопросов.
В частности, почему же до сих пор из 42 ведущих антивирусных пакетов (на сайте сервиса Virustotal), он детектируется двенадцатью? (Точно помню, что еще 8 марта их было 9. Жаль, не обратил внимание, кто пополнил список – ждали готовых сигнатур?) А в чем же проявляется эффективность хваленых разновидностей алгоритмов эвристического и поведенческого анализа?
Наконец, а почему разговор о вредоносности данного ПО всплыл только сейчас? «Ведь, если звезды зажигают – значит – это кому-нибудь нужно?» (с)
Ссылки по теме:
http://www.symantec.com/connect/fr/blogs/trojan-found-usb-battery-charge... -- здесь подробнее об эксплуатируемых CLSID и характере действий трояна.
http://www.energizer.com/usbcharger/download/March_8_2010_USB_Release__3... -- заявление о прекращении поставки ПО от Energizer.
http://www.virustotal.com/ru/analisis/ ... результаты анализа сервисом Virustotal
PS: Забрел на обывательское обсуждение «насколько все ужасно с этими батарейками» на форуме то ли ветеринаров, то ли любителей собак. Ну-и-ну! Они уже близки к выводу, что это скажется на образе жизни их четвероногих питомцев. Если они действительно дойдут до такого заключения – не удержусь от выкладки ссылки (кому интересно – подсказка: это седьмая страничка в поиске Google).
Вот она, великая и непреодолимая сила массмедиа!
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+1212 голосов |