Недавно был обнаружен новый вирус для Skype, позволяющий выкачивать оттуда всю интересующую его информацию, сохраненную в папке самой программы. Обнаружен он был компанией Palo Alto Networks.Для начала работы вируса Т9000, пользователю достаточно лишь открыть файл формата .rtf. Сама установка вируса происходит по многоступенчатому плану, поэтому он легко избегает детектирования.
Теперь конкретно по стадиям установки:
Многие авторитетные ресурсы, такие как http://itprof-tmn.ru/ рекомендуют изначально проводить полное сканирование, на предмет вредоносного кода, одним из 24 интересующих его антивирусов (включая как используемые всеми Kaspersy и DoctorWeb, так и малоизвестные AhnLab). В случае удачной установки, идёт процесс деинсталляции, подстроенные под конкретно вашу защиту.
Далее идёт установка опасной библиотеки с параллельной проверкой на опасность имеющихся антивирусов (опять). А уже потом, отталкиваясь от результата, Т9000 применяет подходящий ему путь развития для перехода в третью фазу установки.
Сам же опасный компонент активизируется исключительно после 4 ступени установки, но даже будучи установленным он способен неожиданно пропасть, не оставив никаких признаков своего присутствия. Если установка была успешной, то ваша версия операционной системы и имя пользователя отсылаются на удаленный сервер, а после чего загружаются на модули. С этого момента ваши данные могут беспрепятственно загружать.
Как работает вирус:
У Т9000 есть ряд плагинов, каждый из которых отвечает за выкачивание конкретного типа данных.
Первый плагин делает снимок вашего экрана трижды в минуту, и получает доступ к файлам Skype. Если он (Skype) у вас запущен, то взломщики нечестным путем вымогают права на данные вашего скайпа для своего вирусного .exe файла, иначе вся операция пройдёт безрезультатно. Если же пользователь все-таки предоставляет желаемое, то атакующий получает доступ к полному выкачиванию интересующей его информации.
Второй выкачивает документы ограниченного количества форматов (.doc, .ppt и так далее), включая данные со съемных дисков и носителей.
Третий же плагин служит для отслеживания даты создания файла, датой копирования файла, датой перемещения, изменения или удаления. В общем, плагин ведёт журнал по файлу.
Способы борьбы:
Пока что, по словам Palo Alto, способа противостоять Т9000 нет, но ведутся активные разработки по этому вопросу. Пользуйтесь проверенными способами защиты компьютера. А самим же пользователям рекомендуется просто быть аккуратнее, ведь главный ключ к работе вируса – согласие самой жертвы на соответствующие права работы вредоносного приложения. Удачи.
Добавить пост 