Снаряд против брони, или Новая волна троянов
За последний месяц в моем окружении два компьютера попали под атаку и были фактически выведены из строя троянскими программами, работавшими предположительно по вот этой технологии:
1) Эксплойт, предназначенный для использования против недавно раскрытой уязвимости в Java, и который был доступен ранее только за деньги и только в криминальном кибер-подполье, теперь включен в состав проекта с открытым кодом, а именно - в состав пакета для разработки и отладки эксплойтов - Metasploit. Исследователи, имеющие отношение к Metasploit, говорят, что при тестировании эксплойт успешно сработал против самых разных систем, включая последние версии Windows, Mac и Linux.
2) Сообщается, что данный троян достаточно трудно выявить, так как он способен имитировать легальный файл системы, после того, как попадает в нее. Кроме того, вредоносной программе по силам имитировать еще и имя, и описание версии, включая наименование разработчика.
Единственный симптом заражения - необычная работа Windows (периодические "подвисания" за счет 100% загрузки процессора svchost, explorer или другими системными процессами, перехват системными же процессами не предназначенных для них портов, например 8080). Антивирусы ничего не находят, средства анализа системы (AVZ) не показывают ничего подозрительного (что вполне понятно - трояны хорошо максируются), переустановка Windows в режиме "восстановление" ничего не меняет (что менее понятно, но факт). Если компьютер используется в режиме домашней-игровой машины, то в таком зараженном режиме он может работать до бесконечности; идеальное средство для создания ботнета.
Насколько мне известно, брони против этого снаряда пока не придумано. Так что хакеры в очередной раз празднуют победу.
1) Эксплойт, предназначенный для использования против недавно раскрытой уязвимости в Java, и который был доступен ранее только за деньги и только в криминальном кибер-подполье, теперь включен в состав проекта с открытым кодом, а именно - в состав пакета для разработки и отладки эксплойтов - Metasploit. Исследователи, имеющие отношение к Metasploit, говорят, что при тестировании эксплойт успешно сработал против самых разных систем, включая последние версии Windows, Mac и Linux.
2) Сообщается, что данный троян достаточно трудно выявить, так как он способен имитировать легальный файл системы, после того, как попадает в нее. Кроме того, вредоносной программе по силам имитировать еще и имя, и описание версии, включая наименование разработчика.
Единственный симптом заражения - необычная работа Windows (периодические "подвисания" за счет 100% загрузки процессора svchost, explorer или другими системными процессами, перехват системными же процессами не предназначенных для них портов, например 8080). Антивирусы ничего не находят, средства анализа системы (AVZ) не показывают ничего подозрительного (что вполне понятно - трояны хорошо максируются), переустановка Windows в режиме "восстановление" ничего не меняет (что менее понятно, но факт). Если компьютер используется в режиме домашней-игровой машины, то в таком зараженном режиме он может работать до бесконечности; идеальное средство для создания ботнета.
Насколько мне известно, брони против этого снаряда пока не придумано. Так что хакеры в очередной раз празднуют победу.