Вирус KOOBFACE: червь пролазит через uTorrent 2.2.1 и становится на раздачу

Компания Trend Micro сообщила, что вирус KOOBFACE, ранее известный своей моделью распространения через социальные сети, перешел на торрент-сети и теперь распространяется вместе с зараженными файлами приложений по принципу P2P.

KOOBFACE

Каждый из файлов по очереди запускает или расшифровывает и запускает следующий, скрывая от пользователя и антивирусного ПО вирусную суть кода

Загрузчик WORM_KOOBFACE.AV при запуске устанавливает соединение с доменом управляющего сервера, а затем запрашивает торрент-файл. Полученный файл запускает торрент-клиент, который можно обнаружить в разделе ресурсов исполняемого файла. Этот торрент-клиент, uTorrent версии 2.2.1, запускается без ведома пользователя и работает как фоновое приложение. Торрент-клиент загружает файлы, которые загруженный файл запрашивает с управляющего сервера - в них, в закодированном виде, хранятся части вирусной программы.

Важно учесть, что зараженные системы, на которых запущен WORM_KOOBFACE.AV, поддерживают работу скрытого торрент-клиента. Таким образом, система становится «клиентом», хранящим или раздающим вредоносные файлы - «сидером». Чем больше пользователей раздают определенный торрент-файл, тем проще другим пользователям его загрузить, поскольку скорость загрузки при этом повышается.

Еще один важный аспект этого метода - использование нескольких файлов и их шифрование. Использование нескольких компонентов в виде исполняемых файлов, часть из которых зашифрована, позволяет вирусу оставаться незамеченным. Он не определяется при антивирусном сканировании на серверах, где хранятся торрент-файлы. Несколько исполняемых файлов работают совместно и только так достигают своей цели, при этом каждая отдельная часть может не распознаваться как вирус.

Ранее редакция THG сообщала, что «Лаборатория Касперского» провела традиционный пресс-тур для журналистов стран СНГ и Балтии. В этот раз тур совпал с выходом Kaspersky Internet Security 2011 (KIS) на российский и некоторые другие рынки. В нашей статье мы рассмотрели изменения, которые произошли в «Лаборатории Касперского», а также поговорили о том, чем отличается KIS 2011 от предыдущих версий.

©  Tom's Hardware