Sophos: Обнаружен новый вирус семейства ZeroAccess


SophosСпециалистами компании Sophos был обнаружен новый вирус семейства ZeroAccess. Обнаруженный вредонос, по сути, является дроппером, размещающим себя в папках:

  • %Program Files%
  • AppData


Каждая копия вредоноса находится в папке и выглядит так, как будто она является частью продукта Google. В названии используются непечатные символы, которые очень трудно обнаружить через функционал поиска в некоторых версиях ОС Windows.

Получив доступ к папкам, экспертам удалось установить, что в путях к некоторым файлам используются необычные символы Unicode, и что они были написаны справа налево, как в иврите. Техника правостороннего написания символов обычно используется вирусописателями для скрытия расширения вредоносных исполняемых файлов.

В ZeroAccess такое расположение символов Unicode позволяет надежно спрятать вредоносные файлы, а также затрудняет их удаление.

После инфицирования компьютера вредоносная программа подключается к пиринговой сети и загружает модули, отвечающие за кражу кликов.

Обновленный вариант ZeroAccess показывает, что вирус продолжает активно развиваться, а главной задачей его разработчиков является продление срока его пребывания на компьютере жертвы и усложнение процесса его удаления.


Обновлено (01.08.2013 13:01)