Компания Symantec сообщила, что известный хакерский набор MPack, предназначенный для установки вредоносного ПО на компьютеры пользователей, пополнился новым и очень опасным трояном Srizbi, предназначенным для заражения ОС Windows.
Эксперты Symantec отмечают, что опасность трояна заключается в том, что он предназначен для вмешательства в ядро ОС, а учитывая закрытость ядра некоторых разновидностей Windows, обнаружение и лечение этого трояна может стать непростой задачей для многих антивирусов.
Напомним, что не так давно антивирусная лаборатория PandaLabs обнаружила новую версию 0.90 вредоносной утилиты Mpack, которая продается в интернете за 1000 долларов США. Это приложение можно назвать “набором для инсталляции вредоносного ПО с помощью эксплойтов”, поскольку оно способно обнаруживать и загружать на ПК эксплойты для многочисленных брешей безопасности.
Кибер-преступники даже предлагают бесплатную годовую поддержку тем, кто приобретает данную версию. Хакеры, желающие обновить Mpack новыми эксплойтами, могут приобрести их по стоимости от $50 до $150 за каждый.
Процесс заражения начинается с посещения хакером определенной веб-страницы, на которую он добавляет ссылку iframe, ведущую на сервер, где установлен Mpack. Если пользователь просматривает такую страницу, запускается Mpack. Затем выполняется поиск уязвимостей на компьютере пользователя, и при обнаружении таковых, вредоносный код загружает на ПК соответствующий эксплойт.
По словам Каору Хаяши, инженера компании Symantec, троян Srizbi представляет собой новое поколение вредоносных средств, атакующих напрямую ядро Windows, причем, в том случае, если компьютер пользователя заражается этим трояном, то хакер получает полный доступ к системе, даже более полный, чем имеет администратор, так как все задачи в системе он может выполнять от имени ядра ОС.
“Это определенный шаг в эволюции вредоносного ПО, конечно это не революция, но тенденция злоумышленников отслеживается очень четко. Если ваше антивирусное ПО в работе полагается на Windows API, то ваш ПК не защищен. Вам нужно нечто, что использует современную анти-руткитовую технику” – говорят в Symantec.
Также в Symantec отмечают, что, вероятнее всего, у трояна Srizbi и полиморфного трояна Rustock один и тот же автор.
Кроме того, в компании предупреждают, что обнаружить троян можно, поискав в реестре Windows ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RcpApi\”MachineNum” = “[произвольный 6-значный набор цифр произвольный 2-значный набор цифр]”
