Firma Doctor Web opublikowała nową wersję skanera Dr.Web, który jako pierwszy mógł zostać uruchomiony na już zainfekowanym komputerze i zneutralizować BackDoor.Tdss.565 (znany także jako TDL3).

Rootkity tego typu implementują najnowsze technologie, które pozwalają im nie tylko na ominięcie zabezpieczeń praktycznie wszystkich istniejących antywirusów i wstrzyknięcie szkodliwego kodu do procesów systemowych, ale także na pozostanie niezauważonym.

Jedną z innowacji w BackDoor.Tdss.565 jest jego nowa metoda instalacji, która pozwala na uniknięcie wykrycia przez praktycznie wszystkie znane analizatory zachowania. Oznacza to, że twórcy wirusów nie tylko starają tworzyć nowy, trudny kod do wykrycia dla skanerów opartych na sygnaturach i analizie heurystycznej, ale także próbują obejść (i niekiedy im się to udaje) analizatory zachowania.

Ukryty dysk wirtualny utworzony przez rootkita na dysku twardym zaatakowanego komputera to kolejna nowość wprowadzona przez twórców wirusów. Ukryty dysk wirtualny przechowuje pliki niezbędne do działania trojana. Specjalny algorytm montowania umożliwia ukrycie tego dodatkowego urządzenia w systemie.

Rootkit infekuje również jeden ze sterowników odpowiedzialnych za działanie dysków twardych. Złośliwe oprogramowanie wykrywa który interfejs twardego dysku jest wykorzystywane w systemie i wstrzykuje swój kod do odpowiedniego sterownika.

BackDoor.Tdss.565 korzysta również z innych nietypowych technik, które czynią jego wykrycie i neutralizację sporym wyzwaniem dla producentów oprogramowania antywirusowego. Deweloperzy Dr.Web pierwsi rozwiązali ten problem i wyniki ich prac zostały wprowadzone w najnowszej wersji skanera Dr.Web, zawartego we wszystkich rozwiązaniach Doctor Web dla Windows.

Wirusy w wiadomościach e-mail

Nowe modyfikacje oprogramowania wykradającego hasła Trojan.PWS.Panda, a także nowe odmiany Trojan.Proxy, które rozprzestrzeniały się za pośrednictwem poczty e-mail w poprzednich miesiącach, stwierdzono również w wiadomościach w listopadzie. Odkąd wielu producentów oprogramowania antywirusowego informuje użytkowników o zagrożeniach związanych z tego typu wiadomościami, twórcy wirusów musieli znaleźć nowe sposoby, by przekonać użytkowników do pobierania i uruchamiania złośliwych plików wykonywalnych.

W poprzednich miesiącach rozsyłka wirusów była realizowana za pomocą wiadomości rzekomo pochodzących od administracji portalu Facebook. W listopadzie użytkownicy MySpace zostali dodani do grupy docelowej. Zaczęli oni otrzymywać zawiadomienia podobne do tych, które były wysyłane do użytkowników Facebook. Byli również informowani o zmianie ich hasła dostępowego ze względów bezpieczeństwa, a nowe hasło zostało zapisane w pliku znajdującym się w załączniku do wiadomości. Niektóre wiadomości oferowały ofiarom możliwość pobrania narzędzia, które rzekomo miało uczynić wszystkie wymagane zmiany automatycznie. Link zawarty w wiadomości prowadził do spreparowanej witryny cyber-przestępców.

W celu rozpowszechniania złośliwego oprogramowania poprzez e-mail, twórcy wirusów często fałszowali wiadomości od znanych i szanowanych firm. W listopadzie zdecydowali się na firmę Nacha. E-mail powiadamiał użytkownika, że jego lista elektronicznych transakcji została anulowana i proponował, aby przejść do witryny WWW firmy w celu uzyskania szczegółowych informacji. Nieświadomy użytkownik pobierał z tak spreparowanej witryny modyfikację Trojan.PWS.Panda.

Phishing

Ostatnie dwa tygodnie listopada cyberprzestępcy wysyłali do użytkowników wiadomości rzekomo z serwisu Google. Wiadomość zawierała tylko kilka linii i oferowała użytkownikowi link, pod którym mógłby dowiedzieć się o nowym sposobie zarabiania pieniędzy.

W niektórych przypadkach link może bezpośrednio skierować użytkownika do strony internetowej z postem Twitter zawierającym inny link. W innych przypadkach link ten kierował użytkowników bezpośrednio do spreparowanej strony internetowej.

W obu przypadkach głównym celem przestępców było przekierowanie użytkownika na specjalnie przygotowaną witrynę WWW, aby pobrać jego dane osobowe. Aby upewnić się, że ofiary nie mają wystarczająco dużo czasu by zacząć coś podejrzewać, wprowadzono mechanizm czasowy na stronie internetowej.

Źródło: www.doctorweb.com.pl

Dodaj komentarz