Новый червь создает IRC-ботнеты Специалисты зафиксировали возрастающее количество заражений и новых вариантов вируса Sality.AO, который сочетает технологии старых вирусов (заражение файлов и нанесение вреда как можно большему количеству компьютеров) с новыми методами, направленными на получение финансовой выгоды. В связи с этим они говорят о возможной массовой атаке. Среди известных технологий, которые использует вирус - аварийное обесточивание (EPO) или резонатор (Cavity). Они связаны со способом видоизменения исходного файла для его заражения, тем самым значительно усложняя процессы обнаружения этих изменений и восстановления файлов. Аварийное обесточивание позволяет части правильного файла запуститься до начала заражения, из-за чего обнаружить вредоносное ПО становится трудной задачей. При помощи резонатора происходит встраивание кода вируса в пустые области нормального файла, что делает сложным обнаружение и восстановление зараженных файлов. Указанные технологии намного сложнее тех, которые можно реализовать с использованием автоматизированных инструментов для создания вредоносного ПО, которыми пользуются вирусописатели в последнее время. Используемые для работы Sality.AO методы предполагают наличие больших навыков и глубоких знаний при программировании вредоносного кода. В дополнении к техникам, встречающимся в старых вирусах, Sality.AO содержит серию характеристик новых вредоносных направлений, такие как соединение через IRC-каналы для получения удаленных команд, а также использование iFrame для заражения на компьютере PHP, ASP и HTML-файлов. После запуска любого из этих файлов браузер без предупреждения осуществляет переадресацию пользователя на вредоносную страницу, которая загружает на компьютер эксплойт, позволяющий в перспективе загрузить на данный компьютер другие вредоносные программы. В результате специалисты по вопросам ИТ безопасности отнесли Sality.AO к гибридам вредоносного ПО, которые сочетают в себе черты троянов и вирусов.
|