Под видом утилиты для удаления червя Stuxnet распространяется вирус

3/11/2010 13:25

Согласно данным антивирусной компании Symantec, инцидент с червем Stuxnet, поразившим ряд промышленных объектов и компьютеры рядовых пользователей, получил неожиданное продолжение. Под видом бесплатной утилиты для удаления интернет-червя Stuxnet злоумышленники распространяют вирус, который прежде всего ориентирован на уничтожение данных пользователя. По классификации компании Symantec, данный вирус уже получил название "Trojan.Fadeluxnet". Распространение этого вируса производится через доски объявлений, специализированные форумы и подставные веб-сайты. Исполняемый файл вируса "Stuxnet-Cleaner.exe" закамуфлирован под программу компании Microsoft, так в название продукта написано: "Microsoft Stuxnet Cleaner", а в поле с авторскими правами: "Microsoft Corporation". Как удалось выяснить специалистам Symantec, на самом деле данная программа не является разработкой Microsoft, несмотря на схожий стиль работы. Если пользователь запустит исполняемый файл, то программа сначала изменит некоторые ключи реестра, отвечающие за ассоциацию действий пользователя с файлами с расширением .exe, .mp3, .jpg, .bmp и .gif, что сделает данные файлы непригодными для использования и заблокирует их запуск, а затем она прервёт работу различных процессов. Что хуже всего, программа удаляет все файлы с диска «С:» (включая Stuxnet, если он был на этом диске). Из описанного механизма работы очень странно, что такая полезная утилита, позволяющая очистить систему от зловреда Stuxnet стала вирусом. Ведь свою основную задачу она выполняет на отлично, кроме того пользователь самостоятельно запускает процесс очистки системы от вредоносных программ.
Источник