Flame — самый сложный вирус, применяемый для шпионажа
30.05.2012 [16:30], Константин Ходаковский
После серии инцидентов уничтожения важных данных на компьютерах в странах Западной Азии с помощью неизвестной вредоносной программы, получившей кодовое имя Wiper, Международный союз электросвязи (International Telecommunications Union, ITM) предпринял срочное исследование, во время проведения которого совместно со специалистами «Лаборатории Касперского» удалось обнаружить другого «червя» направленного действия, по своей сложности и функциональности превосходящего все известные вирусы.
Программа, получившая в «Лаборатории Касперского» наименование Worm.Win32.Flame, разработана для ведения кибершпионажа в ряде стран Ближнего Востока. Отчёт «Лаборатории Касперского» указывает, что в центре географии заражения находится Иран, за ним следует Израиль и Палестина, Судан и Сирия. Возможности «червя» включают удалённое изменение настроек компьютера, создание снимков экрана, похищение файлов, документов, переписки из программ обмена сообщениями, контактных данных, перехват сетевого трафика, паролей, и осуществление аудиозаписи разговоров через подключённый микрофон. Похищенные данные передаются на командные серверы в разных частях света. По предварительной оценке, Flame действует уже порядка двух лет, с марта 2010 года. До сих пор он не был обнаружен ввиду исключительной сложности, географической и целевой направленности — определённые компьютеры преимущественно из сферы бизнеса и академических учреждений. Число инфицированных компьютеров невелико и составляет в мировом масштабе порядка 5 тысяч.
Возможно, автором проекта выступают израильские спецслужбы, предположительно, причастные к созданию Stuxnet, обнаруженного в июне 2010 года и направленного на промышленные системы, в особенности против ядерного проекта Ирана, и Duqu, выявленного в сентябре 2011 года и осуществляющего предварительный сбор данных. «Лаборатория Касперского» отмечает, что в характере работы Stuxnet, Duqu и Flame есть много общего. Flame распространяется по сети несколькими способами, в том числе эксплуатирует методы Stuxnet: использует USB-устройство или уязвимость диспетчера печати.
«Предварительные выводы исследования, проведённого по срочному запросу МСЭ, подтверждают целевой характер этой вредоносной программы. Один из наиболее тревожных фактов относительно кибератаки, проводимой с помощью Flame, состоит в том, что она в данный момент находится в активной стадии, и те, кто её проводят, постоянно ведут наблюдение за заражёнными системами, собирают информацию и выбирают новые объекты для достижения своих, неизвестных нам целей», — комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
«Уже на протяжении нескольких лет опасность военных операций в киберпространстве является одной из самых серьёзных тем информационной безопасности. Stuxnet и Duqu были звеньям одной цепи кибератак; их применение вызвало озабоченность в связи возможной перспективой развязывания кибервойн во всём мире. Зловред Flame, по всей вероятности, является ещё одним этапом такой войны. Важно понимать, что подобное кибероружие легко может быть обращено против любого государства. Кроме того, в кибервойнах, в отличие от традиционных, развитые страны оказываются наиболее уязвимыми», — прокомментировал обнаружение Flame генеральный директор «Лаборатории Касперского» Евгений Касперский.
Flame содержит несколько мегабайт исполняемого кода и почти в 20 раз превосходит размер «червя» Stuxnet. В настоящее время ITM проводит углублённый анализ Flame с использованием возможностей сети IMPACT, состоящей из 142 стран и нескольких крупных игроков отрасли, включая «Лабораторию Касперского», которая планирует в скором времени опубликовать серию материалов, раскрывающих подробности о новой угрозе.
Материалы по теме:
Источники:
Вредоносный спам от имени Сбербанка получил широкое распространение
30.05.2012 [14:15], Сергей и Марина Бондаренко
Компания «Доктор Веб» сообщила о массовом распространении вредоносного спама: пользователю приходят сообщения, якобы отправленные Сбербанком. Письма содержат ссылку на архив, в котором скрывается троянец-кодировщик: при попытке открыть такое вложение файлы на компьютере жертвы оказываются зашифрованными.
Письма, в поле «отправитель» которых числится «Сбербанк ОнЛ@йн», а в поле «Тема» — «Сообщение об увеличении задолженности», за последние дни получило множество пользователей. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику.
По ссылке на компьютер жертвы загружается RAR или ZIP-архив, содержащий файл .SCR, либо данный файл в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказываются зашифрованными, а на экран выводится соответствующее сообщение:
Если файлы уже зашифрованы троянцем, специалисты рекомендуют сделать следующее:
- отправьте заявление в территориальный отдел полиции по факту данного преступления. С образцом заявления можно ознакомиться здесь;
- ни в коем случае не пытайтесь переустановить операционную систему;
- не удаляйте никаких файлов на вашем компьютере;
- не пытайтесь восстановить зашифрованные файлы самостоятельно.
Материалы по теме:
Источник:
Полиция арестовала 12 членов румынской группы Anonymous
30.05.2012 [03:15], Евгений Лазовский
Румынская полиция недавно сообщила об аресте нескольких членов румынской группы организации Anonymous, борющейся за свободу слова в Интернете. Команда Romanian Organized Crime Unit совершила налёты на дома 12 членов Anonymous, которые были расположены в 10 различных городах.
Полиция утверждает, что лидером группы являлся 24-летний Габриэль Баланеза (Gabriel Balaneasa). В сети он использовал несколько псевдонимов, среди которых — lulzcart, anonsboat, anonsweb и carman. Баланеза является уроженцем города Пьятра-Нямц.
После создания группы к ней присоединилось несколько человек, которые совершали атаки на местные и международные веб-сайты. Одними из последних подверженных атакам являются официальный сайт Городского совета Бухареста и правительственный портал. Члены группы использовали внедрение SQL-кода и смогли приостановить работу приблизительно 29 сайтов.
Материалы по теме:
Источник:
Лига Защиты Интернета собирается бороться с сетевыми угрозами
29.05.2012 [18:51], Евгений Лазовский
Группа сайтов, которые ранее были вовлечены в акцию протеста против биллей SOPA и PIPA, недавно вновь объединились для создания так называемой Internet Defense League (Лига Защиты Интернета). Если верить AllThingsD.com, то целью объединения является создание предупреждающей системы для сетевого сообщества, которая могла бы защитить пользователей от различного рода угроз.
Лига была образована некоммерческой группой Fight for the Future, одним из главных организаторов которой является Алексис Оханиан (Alexis Ohanian) — один из основателей социального новостного сайта reddit. Помимо reddit, к Лиге примкнули WordPress и Imgur.
Группа использует в качестве логотипа изображение кота и заявляет, что этот логотип будет появляться каждый раз, когда члены Лиги будут чувствовать, что угроза где-то поблизости. На сайте группы присутствует такая жизнеутверждающая надпись: «В следующий раз при возникновении непредвиденного случая мы сообщим вам об этом и вышлем код. Приводить механизм в действие или нет — решать вам». Более подробная информация о Лиге появится в июне.
Материалы по теме:
Источник:
Symantec рассказала о десяти категориях самых вредоносных сайтов
29.05.2012 [09:26], Евгений Лазовский
Компания Symantec недавно опубликовала отчёт по интернет-угрозам за 2011-ый год. Наиболее интересная информация из отчёта затрагивает количество угроз на сайтах различных категорий.
Symantec показала десять самых вредоносных категорий сайтов. Впрочем, в отчёте не говорится об общем количестве самых опасных сайтов — в нём освещается информация о соотношении угроз на URL. Вот полный список таких категорий:
- блоги и веб-коммуникации;
- хостинг и сайты с персональным хостингом;
- бизнес и экономика;
- образование и справочная информация;
- технологии;
- развлечения и музыка;
- автомобили;
- здоровье и медицина;
- порно.
Согласно исследованиям компании, заражёнными являются 20% всех блогов и сайтов веб-коммуникации; 15% сайтов, предоставляющих хостинг; 10% сайтов, темой которых являются бизнес и экономика. На удивление, всего 2% порнографических сайтов являются вредоносными.
Также Symantec напоминает, что компьютеры Mac больше не являются невосприимчивыми к сетевым угрозам — в последнее время компания стала обнаруживать всё больше и больше троянов и тому подобного вредоносного программного обеспечения, которому подвержены компьютеры от Apple.
Материалы по теме:
Источник:
В рамках конкурса Hack2own в Москве предлагается взломать браузер за вознаграждение
27.05.2012 [10:41], Андрей Коробкин
В русскоязычном блоге Opera появилась информация о том, что разработчики готовы предоставить каждому желающему возможность попробовать взломать браузер Opera и получить за это заслуженную награду на конкурсе Hack2own, который будет проводиться в Москве 30 и 31 мая в рамках международного форума по практической безопасности Positive Hack Days.
По словам организаторов, конкурс по взлому браузеров будет состоять из трех этапов:
- Первый раунд. Здесь участникам будет предложено воспользоваться уязвимостями в последних стабильных версиях интернет-обозревателей Google Chrome 19.0.1084, Opera 11.64, Mozilla Firefox 12 и Microsoft Internet Explorer 9.
- Второй раунд. Тут можно будет попробовать свои силы по взлому более ранних версий браузеров Google Chrome 16/17/18/19, Opera 11.64/11.60, Mozilla Firefox 10/11/12 , Microsoft Internet Explorer 8/9 и Apple Safari 5.0/5.1.1/5.1.2.
- Третий раунд. В рамках третьего раунда будет допускаться эксплуатация последних версий типовых сторонних компонентов для браузеров (перечень обозревателей идентичен представленному во втором раунде): Adobe Flash Player (11.2.202.235), Adobe Reader (10.1.3), Java (7 update 4).
Победители каждого раунда получат денежные вознаграждения: в первом – 137000 рублей; во втором – 75137 рублей; в третьем – 50137 рублей. Чтобы участвовать в конкурсе, хакеры должны пройти предварительную регистрацию, отправив заявку по адресу phdcontests@ptsecurity.ru до 28 мая 2012 года. В рамках конкурса Hack2own также будут проводиться соревнования по взлому операционных систем и мобильных устройств.
Материалы по теме:
Источник:
Новый IRC-бот распространяет спам в IM-сетях
25.05.2012 [10:59], Сергей и Марина Бондаренко
Компания «Доктор Веб» сообщила о распространении новой модификации IRC-бота, добавленного в вирусные базы под именем BackDoor.IRC.IMBot.2. Как и другие представители данного семейства, этот бот способен рассылать спам в сетях мгновенного обмена сообщениями, загружать на инфицированный компьютер и запускать исполняемые файлы, а также осуществлять по команде с управляющего сервера DDoS-атаки.
Существует огромное количество модификаций троянских программ, использующих в своей работе IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени. Более того, новые версии IRC-ботов появляются с завидной регулярностью. С этой точки зрения BackDoor.IRC.IMBot.2 можно было бы назвать типичным представителем данного семейства, если бы не одно отличие.
BackDoor.IRC.IMBot.2 распространяется аналогично другим известным IRC-ботам: сохраняет себя на сменные носители под именем usb_driver.com и создает в корневой директории файл autorun.inf, с помощью которого осуществляется запуск троянца при подключении устройства (если данная функция не была заранее заблокирована в настройках операционной системы).
Запускаясь в инфицированной системе, BackDoor.IRC.IMBot.2 сохраняет себя в папку установки Windows и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозапуск приложений. Также BackDoor.IRC.IMBot.2 изменяет настройки брандмауэра Windows, для того чтобы обеспечить себе соединение с Интернетом.
Наиболее интересной чертой данного бота является встроенный в него своеобразный механизм поиска процессов с именами dumpcap, SandboxStarter, tcpview, procmon, filemon. Будучи запущенным на компьютере жертвы, троянец обращается к разделу системного реестра HKEY_PERFORMANCE_DATA, отвечающего за определение производительности ПК, и ищет с помощью размещающихся в данном разделе счетчиков запущенные в операционной системе процессы. Данный алгоритм интересен тем, что ранее он не встречался в других вредоносных программах подобного типа.
BackDoor.IRC.IMBot.2 способен загружать и запускать на инфицированном компьютере исполняемые файлы, распространять спам в сетях, использующих для обмена сообщениями программы MSN Messenger, AOL Instant Messenger, Yahoo! Messenger, а также по команде с удаленного сервера организовывать DDoS-атаки.
Материалы по теме:
Источник:
Trojan.Hosts.5858 блокирует доступ в Интернет
24.05.2012 [09:02], Сергей и Марина Бондаренко
Компания «Доктор Веб» сообщила о широком распространении вредоносной программы Trojan.Hosts.5858, угрожающей в первую очередь немецкоязычным пользователям. Троянец перенаправляет жертву при запросе в браузере на принадлежащий злоумышленникам веб-сайт, требующий оплатить разблокировку доступа в Интернет с помощью кредитной карты.
Прежде всего, Trojan.Hosts.5858 загружается на компьютеры, уже инфицированные вредоносной программой семейства BackDoor.Andromeda, — эта угроза способна скачивать с сайтов злоумышленников исполняемые файлы. Вместе с Trojan.Hosts.5858 на зараженный компьютер могут быть также загружены другие троянцы (Trojan.Spambot.11349 и BackDoor.IRC.Aryan.1).
Запустившись в операционной системе, Trojan.Hosts.5858 модифицирует файл hosts, расположенный во вложенных папках системной директории Windows и отвечающий за трансляцию сетевых адресов сайтов в их DNS-имена. В результате при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страничку, сообщающую на немецком языке о том, что доступ в Интернет заблокирован. Для «разблокировки» пользователю предлагается передать вирусописателям реквизиты его банковской карты.
Материалы по теме:
Источник:
Е. Касперский сожалеет, что Apple отказалась от защиты iOS
23.05.2012 [17:47], Андрей Коробкин
Евгений Касперский, занимающий пост главы компании "Лаборатория Касперского", в своем интервью изданию TheRegister заявил, что он «немного разочарован» тем, что компания Apple отказалась от его помощи по развитию антивирусного программного обеспечения для iOS-устройств. По его мнению, появление вирусов под мобильную платформу Apple – это всего лишь вопрос времени.
«Как компания по разработке решений для борьбы с вредоносными программами, мы не можем создать полноценную защиту конечных устройств на iOS. Появление вредоносных программ для этой мобильной платформы неизбежно», – рассказал глава компании. По его мнению, структура мобильной платформы от Apple является очень безопасной, а потому «практически невозможно создать для нее вредоносную программу», не использовав при этом явные уязвимости в самой системе. Единственный путь для создания вирусов для iOS – это внедрение их в исходный код легального программного обеспечения. После этого могут быть заражены миллионы и десятки миллионов гаджетов.
Гуру по борьбе с вирусами считает, что хакеры проигнорировали этот путь только потому, что это немного сложнее, чем простые атаки. «Им комфортно с Windows. Они хорошо себя чувствуют с Mac. Они счастливы с Android. Но вот заразить iOS гораздо сложнее. Но когда это произойдет – это будет самый худший сценарий, поскольку у платформы нет никакой защиты. Apple просто не позволяет нам ее создавать», – рассказал Касперский.
В случае "нападения" на iOS, по его мнению, снизится популярность и доля рынка, занимаемая компанией Apple. В результате этого доминирование Android станет более выраженным, поскольку Google дает возможность создавать антивирусы для своей платформы. Касперский даже заключил пари, что доля рынка Android к 2015 году достигнет 80%, отчасти благодаря проблемам безопасности на конкурирующих платформах.
Материалы по теме:
Источник:
Деньги у Android-пользователей в основном воруют российские и китайские вирусы
23.05.2012 [09:02], Максим Паршуто
Две международные антивирусные компании обнаружили два новых вируса. Обе вредоносные программы нацелены на русскоязычную версию операционной системы Android. После появления этих данных журнал Computerworld поделился любопытной информацией о вирусах. По данным издания, большая часть вредоносного программного обеспечения, ворующего деньги у пользователей смартфонов на базе Android, создана в Китае или России.
.jpg)
Компания Sophos обнаружила поддельный антивирус. Ссылки на него распространялись через социальную сеть Twitter. После перехода на сайт пользователю Android-платформы предлагалось проверить смартфон на наличие вирусов, обновить Opera или Skype. С согласия человека происходила скачка вредоносного ПО, которое рассылает SMS на платные номера.
Symantec, в свою очередь, раскрыла программу Android Opfake. Скачать ее можно было под видом драйвера, популярной игры, порнофильма или обновления для браузера. Действие вируса аналогично предыдущему. Все те же платные SMS.
На долю российских хакеров приходится 20% процентов всего вредоносного ПО для Android-платформы, утверждает директор антивирусной компании F-Secure. Еще 20% приходится на китайского производителя. Оставшиеся 60% вирусов неизвестного происхождение. Не исключено, что эти программы-вредители также производятся на территории вышеупомянутых стран.
Материалы по теме:
Источник:
Вышла новая версия NOD32 для домашних пользователей
23.05.2012 [00:37], Сергей и Марина Бондаренко
Компания ESET выпустила новые версии решений ESET NOD32 Antivirus и ESET NOD32 Smart Security версии 5.2 для домашних пользователей.
Последние версии отличаются такими нововведениями: добавлена статистика по отсканированным файлам в главном меню, расширена информация о процессах в ESET Live Grid, появилась возможность активировать продукт, используя прокси-сервер. Также были улучшены настройки и управление родительским контролем. Администратор ПК теперь может обозначить роль для пользователя с помощью ввода возраста при конфигурировании родительского контроля, а еще добавлена функция выставления приоритетов на нежелательные ресурсы.
Новые версии решений ESET NOD32 5.2 и ESET NOD32 Smart Security 5.2 для домашних пользователей доступны на официальном российском сайте компании ESET.
Материалы по теме:
Источник:
Обнаружен новый IRC-бот, способный осуществлять DDoS-атаки
22.05.2012 [10:26], Сергей и Марина Бондаренко
Компания «Доктор Веб» сообщила распространении вредоносной программы BackDoor.IRC.Aryan.1, способной загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера (IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени).
Вредоносное приложение BackDoor.IRC.Aryan.1 можно отнести к категории IRC-ботов. Программа распространяется самокопированием на съемные носители путем создания в корневой директории диска инфицированной папки и файла автозапуска autorun.inf. Кроме того, BackDoor.IRC.Aryan.1 применяет еще один способ заражения сменных носителей информации: бот копирует себя на съемный диск, прячет обнаруженные файлы в созданную им папку, а вместо них помещает ярлыки, ссылающиеся как на спрятанный оригинальный файл, так и на саму вредоносную программу. В результате при активизации такого ярлыка пользователем, помимо открытия искомого файла, запускается BackDoor.IRC.Aryan.1. Успешно инфицировав диск, бот отправляет соответствующее сообщение на специально созданный злоумышленниками IRC-канал.
Затем вредоносная программа копирует себя в одну из папок как svmhost.exe и помещает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматический запуск приложений при загрузке Windows. Также бот пытается встроить код в процесс explorer.exe.
Помимо прочего, BackDoor.IRC.Aryan.1 обладает механизмом самозащиты: в отдельном потоке бот постоянно проверяет свое наличие на диске и, в случае отсутствия соответствующего файла в целевой папке, сохраняет его туда из оперативной памяти. Параллельно осуществляется проверка наличия соответствующей записи в системном реестре Windows. Также BackDoor.IRC.Aryan.1 пытается встроить код, задачей которого является систематический перезапуск вредоносной программы, в процессы csrss.exe, alg.exe и dwm.exe.
Материалы по теме:
Источник:
Anonymous обрушили сайты правительства Индии
21.05.2012 [19:39], Андрей Коробкин
Активисты международной хакерской сети Anonymous на днях провели массовую DDoS-атаку на правительственные сайты Индии. Под горячую руку хакеров на этот раз попали сайты государственных ведомств, интернет-ресурс Верховного суда Индии и веб-порталы двух ведущих политических партий.
По словам Anonymous, атаки были совершены в отместку за то, что решением этих ведомств в стране был заблокирован ряд видеохостингов и файлообменных ресурсов. Особое внимание хакеры уделили атаке на индийскую антипиратскую организацию Copyrights Lab, усилиями которой был перекрыт доступ к Vimeo, DailyMotion и The Pirate Bay.
По информации новостной службы BBC, атаке подверглись 14 государственных веб-порталов. Наибольший урон получили сайты индийского департамента телекоммуникаций, министерства технологий, министерства электроники и промышленности и сайт Верховного суда. На момент написания новости большинство из этих ресурсов были закрыты «на техническое обслуживание».
Все DDoS-атаки проводились в рамках организованной хакерами кампании OpIndia, о которой ими было объявлено накануне.
Материалы по теме:
Источник:
"Лаборатория Касперского" отметила новый виток атак на компьютеры Mac
21.05.2012 [17:26], Сергей и Марина Бондаренко
Специалисты "Лаборатории Касперского" представили ежемесячный отчет с результатами анализа киберугроз. Аналитики пришли к выводу, что необыкновенно высокая активность вредоносного ПО для Mac OS X, отмеченная в марте, была лишь вершиной айсберга. В апреле произошли два события, которые навсегда изменят взгляд на безопасность Mac OS X: массовое применение эксплойтов и использование Mac OS X как части APT-атаки — устойчивой угрозы повышенной сложности.
Если с сентября 2011 до февраля 2012 года для распространения Mac-троянца Flashfake использовалась только социальная инженерия (посетителям различных сайтов предлагалось загрузить поддельное обновление Adobe Flash Player), то позже создатели этого троянца стали использовать эксплойты для заражения компьютеров жертв. В результате Flashback заразил свыше 700000 ПК. «Лабораторией Касперского» была создана бесплатная утилита для удаления зловреда.
В апреле была обнаружена активная угроза класса APT — SabPub. Для заражения пользовательских компьютеров применялись троянцы-бэкдоры двух видов. Первый использовал для проникновения на компьютер эксплойт к уязвимости в Microsoft Word. Второй был нацелен на платформу Mac OS X. В данном случае использовался эксплойт к уязвимости в Java. После заражения компьютера жертвы специально созданный бэкдор получал возможность делать снимки экрана текущей пользовательской сессии и выполнять на зараженном компьютере команды. В настоящее время группа киберпреступников, стоящая за SabPub, продолжает атаковать пользовательские компьютеры.
Кроме активно развивающихся угроз для Mac-компьютеров в апреле эксперты «Лаборатории Касперского» обнаружили новую рассылку спама в Twitter, в которой были задействованы свыше 500000 взломанных учетных записей. Посредством спама рассылались ссылки, перенаправлявшие пользователей на вредоносные сайты с пакетом эксплойтов BlackHole. Сайты устанавливали на компьютеры жертв лжеантивирусы, которые выглядят как уведомления антивируса и призывают пользователя проверить систему на вирусы.
С подробным обзором вирусной активности в апреле 2012 года можно ознакомиться здесь.
Материалы по теме:
Источник:
Обнаружен новый червь, заражающий RAR-архивы
17.05.2012 [14:27], Сергей и Марина Бондаренко
Компания «Доктор Веб» сообщила о распространении вредоносной программы-червя Win32.HLLW.Autoruner.64548, способной заражать RAR-архивы. Червь «умеет» загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносный функционал.
Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.
Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, который Win32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.
Win32.HLLW.Autoruner.64548 — представитель достаточно редкой категории вредоносных программ, способных заражать RAR-архивы. При распаковке RAR-архивов обращайте внимание, не появились ли внутри подозрительные исполняемые файлы: их случайный запуск может нанести вред вашему компьютеру.
Материалы по теме:
Источник:
ВКонтакте