Лаборатория PandaLabs компании Panda Security зафиксировала возрастающее количество заражений и новых вариантов вируса Sality.AO, который сочетает технологии старых вирусов (заражение файлов и нанесение вреда как можно большему количеству компьютеров) с новыми методами, направленными на получение финансовой выгоды. В связи с этим лаборатория PandaLabs говорит о возможной массовой атаке. Среди известных технологий, которые использует вирус - «точка входа» (EPO, Entry Point Obscuring) или резонатор (Cavity). Они связаны со способом видоизменения исходного файла для его заражения, тем самым значительно усложняя процессы обнаружения этих изменений и восстановления файлов. Аварийное обесточивание позволяет части правильного файла запуститься до начала заражения, из-за чего обнаружить вредоносное ПО становится трудной задачей. При помощи резонатора происходит встраивание кода вируса в пустые области нормального файла, что делает сложным обнаружение и восстановление зараженных файлов. Указанные технологии намного сложнее тех, которые можно реализовать с использованием автоматизированных инструментов для создания вредоносного ПО, которыми пользуются вирусописатели в последнее время. Используемые для работы Sality.AO методы предполагают наличие больших навыков и глубоких знаний при программировании вредоносного кода. В дополнении к техникам, встречающимся в старых вирусах, Sality.AO содержит серию характеристик новых вредоносных направлений, такие как соединение через IRC-каналы для получения удаленных команд, а также использование iFrame для заражения на компьютере PHP, ASP и HTML-файлов. После запуска любого из этих файлов браузер без предупреждения осуществляет переадресацию пользователя на вредоносную страницу, которая загружает на компьютер эксплойт, позволяющий в перспективе загрузить на данный компьютер другие вредоносные программы. В результате лаборатория PandaLabs отнесла Sality.AO к гибридам вредоносного ПО, которые сочетают в себе черты троянов и вирусов. Напомним, что сейчас головной болью для пользователей и антивирусных компаний является червь Conficker, заразивший свыше 3,5 миллиона компьютеров и мешающий авианосцам нормально нести вахту.
Источник