Антивирусные эксперты выражают озабоченность появлением целого «ансамбля» зловредных программ, которые, поэтапно убивая все средства антивирусной защиты и брандмауэры, установленные на заражённом компьютере, постепенно превращают его в «зомби» для пересылки спама или организации DoS-атак.
Злоумышленники выработали целую «тройственную» стратегию заражения и захвата компьютера: указанные трояны — Glieder, Fantibag и Mitglieder — проникают на компьютер по очереди и отключают конкретные защитные программы, заодно скачивая друг друга с удалённых сайтов.
Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным «Лаборатории Касперского», самостоятельно вирус-троян не размножается, он изначально был разослан по спам-рассылке. Запускается он тоже только вручную — если у пользователя хватит ума открыть и запустить вложенный файл, червь начинает активно безобразничать. При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe.
Fantibag блокирует доступ к сайтам, посвящённым сетевой безопасности, и хуже того, интегрирует свой dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в системных процессах. Впрочем, его выдают модифицированные ключи реестра в разделе Run, — оказавшись в системном реестре, он запускается при каждом старте Windows.
Последний из троянов — Mitglieder — работает как средство пересылки почты, при этом он также блокирует некоторые программы и передаёт своим создателям некую информацию, а точнее, в свою очередь, пытается выкачать ещё один троян — Ldpinch — с трёх разных сайтов. По данным F-Secure, Ldpinch с тех сайтов уже удалён.
Антивирусные эксперты предполагают, что подобная «кооперация» между тремя программами имеет целью создание крупной сети компьютеров-«зомби».
Загрузка ...
