Доктор Веб: обнаружен новый IRC-бот

Компания «Доктор Веб» предупредила о распространении вредоносной программы BackDoor.IRC.Aryan.1, способной загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера (IRC, Internet Relay Chat - протокол, позволяющий реализовать обмен сообщениями в режиме реального времени).

Доктор Веб: обнаружен новый IRC-бот

Вредоносное приложение BackDoor.IRC.Aryan.1 можно отнести к категории IRC-ботов. Программа распространяется самокопированием на съемные носители путем создания в корневой директории диска инфицированной папки и файла автозапуска autorun.inf. Кроме того, BackDoor.IRC.Aryan.1 применяет еще один способ заражения сменных носителей информации: бот копирует себя на съемный диск, прячет обнаруженные файлы в созданную им папку, а вместо них помещает ярлыки, ссылающиеся как на спрятанный оригинальный файл, так и на саму вредоносную программу. В результате при активизации такого ярлыка пользователем, помимо открытия искомого файла, запускается BackDoor.IRC.Aryan.1. Успешно инфицировав диск, бот отправляет соответствующее сообщение на специально созданный злоумышленниками IRC-канал.

Затем вредоносная программа копирует себя в одну из папок как svmhost.exe и помещает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматический запуск приложений при загрузке Windows. Также бот пытается встроить код в процесс explorer.exe.

Помимо прочего, BackDoor.IRC.Aryan.1 обладает механизмом самозащиты: в отдельном потоке бот постоянно проверяет свое наличие на диске и, в случае отсутствия соответствующего файла в целевой папке, сохраняет его туда из оперативной памяти. Параллельно осуществляется проверка наличия соответствующей записи в системном реестре Windows. Также BackDoor.IRC.Aryan.1 пытается встроить код, задачей которого является систематический перезапуск вредоносной программы, в процессы csrss.exe, alg.exe и dwm.exe.

BackDoor.IRC.Aryan.1 обладает функциональностью, позволяющим загружать с удаленного сервера и запускать на инфицированном компьютере различные исполняемые файлы, а также выполнять по команде злоумышленников DDoS-атаки. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Пользователям также рекомендуется проявлять осторожность при работе со сменными накопителями и по возможности отключить функцию автозапуска в настройках операционной системы.

Новость добавлена: 28.05.2012 14:05:40
Автор: Gadget Girl
Просмотров: 1219
< Предыдущая новость
Цифровая фоторамка Ritmix RDF-801 с диагональю 8 дюймовЦифровая фоторамка Ritmix RDF-801 с диагональю 8 дюймов

Корейская компания Ritmix представила в России новую цифровую фоторамку. Фоторамка Ritmix RDF-801 - красивый настольный аксессуар, предназначенный для просмотра цифровых изображений на восьмидюймовом экране и выполняющий дополнительные функции... прочитать новость >>

Новость добавлена: 28.05.2012 17:09:42
Автор: Уставший от гаджетов
Просмотров: 1168
Следующая новость >
Intel выпускает свою первую десктопную плату с ThunderboltIntel выпускает свою первую десктопную плату с Thunderbolt

Как и ожидалось, корпорация Intel официально объявила о выпуске своей первой десктопной материнской платы, снабженной поддержкой технологии Thunderbolt, что обеспечивает возможность передачи данных со скоростью до 10 Гбит/с. Собственно говоря,... прочитать новость >>

Новость добавлена: 28.05.2012 11:02:23
Автор: iPhone Girl
Просмотров: 1571