Autorun-черви по-прежнему актуальны

AutoRunВ конце ноября многие эксперты зафиксировали значительный рост числа детектов VBNA - семейства полиморфных червей, использующих функцию автозапуска Windows для сменных носителей.

В Windows 7 эта функция отключена по умолчанию с апреля 2009 года, в XP и Vista - с февраля 2011 года. Выпуск долгожданного патча дал хорошие результаты, однако многие пользователи до сих пор не удосужились его установить, оставляя открытой лазейку, активно используемую autorun-зловредами.

Червь VBNA, он же Changeup и VOBFUS - создает свои копии на локальных и доступных для записи съемных дисках, способен загружать из Сети других зловредов, а некоторые варианты VBNA к тому же блокируют Windows Update, препятствуя обновлению системы. Новейшая версия червя именует свои копии:

  • Porn.exe;
  • Sexy.exe;
  • Passwords.exe;
  • Secret.exe.


Она создает свои копии с именами всех папок и файлов на диске, снабжая зловредных дублеров иконками стандарта Windows 7. При этом оригиналам присваивается атрибут "скрытый", а в реестре устанавливается запрет на отображение скрытых файлов и папок. Если у пользователя к тому же включена опция "скрывать расширения для зарегистрированных типов файлов" (дефолтная настройка для всех версий Windows), активация вредоносного кода вместо полезного файла практически неизбежна.

После запуска червь подключается к C&C серверу на порту 9003 (как вариант 9004) для получения команды на загрузку и URL источника. Ассортимент этих загрузок весьма широк, от TDSS и фальшивых антивирусов до троянских бэкдоров и даунлоудеров. С конца минувшего месяца обновленный VBNA усердно работает на распространителей р2р-версии ZeuS, известной, как Gameover. Установлено, что троянец, загружаемый червем, сохраняется в каталоге профиля текущего пользователя под именем google.exe. Некоторые сайты, используемые злоумышленниками для дополнительных загрузок, уже недоступны.

Новый VBNA распространяется через Facebook или подгружается тем же Gameover. Последний, в настоящее время, агрессивно раздается через спам, исходящий с ботнета Cutwail. Спам-письма с вредоносным вложением рассылаются от имени американских банков и повествуют о новом защищенном канале, якобы открытом для пересылки конфиденциальной информации. Вместо "шифрованного сообщения", якобы присланного на пробу, вложенный файл с двойным расширением содержит программу-даунлоудер, которую операторы ZeuS обычно используют для его загрузки. ZeuS/Gameover, в свою очередь, загружает и запускает VBNA, поддерживая опасный симбиоз. По мнению экспертов, наблюдаемый рост популяции autorun-червя вполне может быть следствием масштабной кампании по засеву Gameover.

Наибольшее количество новых заражений VBNA обнаружено компанией Symantec в:

  • Индии;
  • Мексике;
  • США;
  • Канаде;
  • ЮАР;
  • Филиппинах.

Обновлено (12.12.2012 00:43)