Опубликовано 02 августа 2013, 00:51

Symantec: Xpiro становится самым массовым кросплатформенным вирусом

Компания Symantec раскрыла информацию о новой стадии распространения вируса типа Xpiro. По словам специалистов, этот зловред становится самым массовым кросплатформенным вирусом, а также отличается крайней жизнестойкостью. Кроме того, внедрив дополнения для браузеров Mozilla Firefox и Google Chrome, вирус может расширить свои возможности относительно кражи информации.

Дополнение Xpiro скрыто

Дополнение Xpiro скрыто

Проведя в забвении какое-то время, вирусы типа Xpiro с шумом вернулись, и на этот раз – приобретя ряд опасных функций. Новый вариант не только вышел за рамки 32-битности и способен заражать 64-битные файлы. Это свойство также кроссплатформенно – 32-битный вариант Xpiro может заражать 64-битные файлы и наоборот.

Антивирусные аналитики и ранее обнаруживали примеры кроссплатформенных заражений, но Xpiro – первый кроссплатформенный вирус, получивший такое широкое распространение. Эта новая разновидность может заражать исполняемые файлы следующих архитектур: Intel 386 (32-бит), Intel 64 (64-бит), AMD64 (64-бит).

Традиционно вирусы распространяются посредством заражения других исполняемых файлов, при этом их создатели не заботятся об их жизнестойкости. В рассматриваемой угрозе применена хитроумная уловка, которая учитывает и эту сторону. Сначала вирус создает список всех служб win32 и пытается заразить файлы этих служб. Затем угроза просматривает все ярлыки (файлы расширения .lnk) на рабочем столе и в меню «Пуск» и пытается заразить файлы, к которым они ведут. Предпочтение отдается именно этим файлам, потому что есть высокая вероятность их запуска пользователем или системой при включении компьютера, что обеспечивает работу вируса даже после ряда перезагрузок. И наконец, вирус заражает все исполняемые файлы на всех – локальных, переносных и сетевых – дисках от C до Z.

Эксперты считают, что конечная цель вирусов семейства Xpiro – кража информации с зараженных систем. Когда Xpiro успешно запускается на компьютере, помимо заражения исполняемых файлов он устанавливает на браузеры Mozilla Firefox и Google Chrome дополнения. Дополнения для Firefox скрыто, а в Chrome оно названо Google Chrome 1.0, так что не привлекает к себе внимания пользователей. Например, firefox-дополнение может осуществлять следующие действия: скрыть собственное присутствие, отключить функции защиты браузера, осуществлять слежение за интернет-активностью пользователей, красть лог-файлы, перенаправлять пользователя на заранее определенные URL-адреса.

В Symantec ожидают, что вирусы других семейств последуют примеру Xpiro и также обзаведутся продвинутой функциональнстью с целью повышения своей конечной эффективности.

Источник новости: Symantec