"Доктор Веб" про новые вирусы в апреле
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в апреле 2008 года.
Безусловно, главным событием конца марта – начала апреля стало обнаружение новой модификации вредоносной программы, получившей наименование по классификации Dr.Web BackDoor.MaosBoot. Данная вредоносная программa относится к новому классу вирусов, представляя собой комбинацию из загрузочного вируса и руткита. BackDoor.MaosBoot нацелен в основном на проникновение в компьютеры пользователей с целью извлечения конфиденциальной финансовой информации. Вирус обладает обширным списком программ класса "банк-клиент". Усовершенствованная версия вируса с легкостью похищает с зараженных компьютеров по данному списку конфиденциальную финансовую информацию.
В середине апреля службой вирусного мониторинга «Доктор Веб» был зафиксирован всплеск спам-рассылки загрузчика уже подзабытой вредоносной программы Win32.HLLM.Limar. И хотя данный всплеск не носил эпидемический характер, он дал понять, что, в будущем, возможно, будет более масштабное распространение этой вредоносной программы.
Однако, по-настоящему знаковым событием стало развенчание службой вирусного мониторинга мифа о не существовании варианта вредоносной программы, известной как Rustock.C. Данная вредоносная программа получила наименование Win32.Ntldrbot по классификации Dr.Web. Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.
Некоторые технические характеристики Win32.Ntldrbot:
- Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
- Реализован в виде драйвера уровня ядра, работает на самом низком уровне.
- Имеет функцию самозащиты, противодействует модификации времени исполнения.
- Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.
- Перехватывает системные функции неклассическим методом.
- Работает как файловый вирус, заражая системные драйверы.
- Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
- Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
- Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
- Имеет защиту от антируткитов.
- Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама.
- Для связи драйвера с DLL используется специальный механизм передачи команд.
Важным обстоятельством является тот факт, что Dr.Web – единственный на сегодняшний день антивирус, способный не только обнаружить Win32.Ntldrbot в активном состоянии, но и вылечить инфицированную им систему.