«Тибетские» трояны обрели иммунитет к перезагрузке

Вирусы-шпионы остаются необнаруженными благодаря цифровой подписи. Они распространяются с серверов в РФ

С российских серверов распространяются вирусы семейства Backdoor.Trojan, которые воруют данные и отличаются устойчивостью, говорится в сообщении компании Symantec.

Заражение компьютера происходит при открытии инфицированного Word-документа, который отправлен якобы с Тибета, написан по-английски и адресован американской компании по производству одежды. Письмо несет в себе три файла, третий из которых обладает подлинной цифровой подписью.

При старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. Она запускает подмененный файл, который в свою очередь активизирует файл boot.ldr, содержащий вредоносный код. Фальшивые файлы не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа. Троян помогает злоумышленникам получать информацию с зараженного компьютера и осуществлять удаленное управление им.

Схожим функционалом обладает вирус Flame, привлекший внимание IT-общественности в апреле. Он активно заражал компьютеры пользователей стран Ближнего Востока на протяжении последних двух лет — с марта 2010 года. Больше всего зараженных компьютеров было обнаружено в Иране, Израиле и Палестине, Судане, Сирии, Ливане. Корпорация Microsoft признала, что Flame пробирается в ее операционную систему, пользуясь ошибкой в ОС. Уже выпущены обновления, призванные защитить клиентов корпорации от шпионских программ. Учреждениям ООН поручено помочь странам-членам организации обезопасить национальную инфраструктуру от Flame и последствий его деятельности.