"Лаборатория Касперского" нашла вирус, умеющий "устранять конкурентов"

Основатель и руководитель Лаборатория Касперского Евгений Касперский
Новый компьютерный вирус, который обучен уничтожать конкурирующие зловредные программы на зараженных компьютерах и позволяет хакерам создавать практически "непотопляемые" бот-сети для рассылки спама, обнаружили специалисты российской антивирусной компании "Лаборатория Касперского".

МОСКВА, 29 июн - РИА Новости, Иван Шадрин. Новый компьютерный вирус, который обучен уничтожать конкурирующие зловредные программы на зараженных компьютерах и позволяет хакерам создавать практически "непотопляемые" бот-сети для рассылки спама, обнаружили специалисты российской антивирусной компании "Лаборатория Касперского", сообщила компания в среду.

Обычно для прекращения деятельности бот-сети специалисты по информационной безопасности находят и отключают серверы управления, через которые владельцы бот-сети отдают команды зараженным компьютерам. По данным исследователей "Лаборатории", вредоносная программа TDSS позволяет использовать кроме командных серверов публичную файлообменную сеть КAD, что теоретически обеспечивают доступ к зараженным машинам даже при закрытии всех командных центров.

"Злоумышленники "расшаривают" в файлообменной сети зашифрованный файл, расшифровать который могут только зараженные компьютеры. После загрузки и расшифровки данного файла бот исполняет указанные там команды. Учитывая, что KAD-сеть является децентрализованной (в отличие, например, от той же BitTorrent, где есть трекеры), закрыть её на текущий момент практически невозможно", - объяснил РИА Новости один из авторов исследования, эксперт "Лаборатории Касперского" Сергей Голованов.

Работа через файлообменные сети - только одна из функций новой программы. TDSS сама отчасти заменяет антивирус и умеет удалять с зараженного компьютера более 20 популярных конкурентных вредоносных программ, среди которых такие известные приложения, как Gbot, ZeuS, Optima (включают зараженный компьютер в одноименные ботнеты) и другие.

А сам TDSS устанавливает на ПК около 30 дополнительных утилит, включая фальшивые антивирусы, системы накрутки рекламного трафика и рассылки спама. Еще одной функцией TDL-4 стала возможность открытия прокси-сервера. Злоумышленники предлагают сервис анонимного доступа к сети через зараженные компьютеры, запрашивая за такую услугу около 100 долларов в месяц.

Исследователи отмечают, что авторы новой программы не занимаются расширением сети зараженных компьютеров самостоятельно, вместо этого оплачивая ее третьим лицам. В зависимости от ряда условий, партнерам выплачивается от 20 до 200 долларов США за тысячу установок вредоносного ПО.

Экспертам "Лаборатории Касперского" также удалось получить общую статистику по количеству зараженных компьютеров. Анализ полученных данных показал, что только за первые три месяца 2011 года с помощью TDL-4 (другое название TDSS) было заражено более 4,5 миллиона компьютеров по всему миру, большая их часть (28%) расположена в США. Учитывая упомянутые ранее "расценки" на распространение вредоносного ПО, можно оценить примерный уровень затрат киберпреступников на создание ботнета из компьютеров американских пользователей: он составляет около 250 тысяч долларов.

Размеры ботнета указывают на то, что сейчас он является одним из крупнейших в мире. Для сравнения, ботнет Rustock, который был отключен в марте этого года, насчитывал более 800 тысяч компьютеров и считался одним из крупнеших в мире генераторов спама. Его отключение уменьшило на треть объем мирового спама, правда, лишь кратковременно.

По мнению авторов исследования, экспертов "Лаборатории Касперского" Сергея Голованова и Игоря Суменкова, киберпреступники продолжат развитие TDSS. Использование инструментов атаки из арсенала Stuxnet, использование технологий p2p, собственный "антивирус" и многое другое ставят вредоносную программу TDSS в разряд самых технологически развитых и наиболее сложных для анализа. "Вредоносная программа и ботнет, объединяющий зараженные компьютеры, доставят еще много неприятностей и пользователям, и специалистам по IT-безопасности", - констатировали эксперты "ЛК".

РИА Наука
Партнеры



Наверх
Авторизация
He правильное имя пользователя или пароль
Войти через социальные сети
Регистрация
E-mail
Пароль
Подтверждение пароля
Введите код с картинки
He правильное имя пользователя или пароль
* Все поля обязательны к заполнению
Восстановление пароля
E-mail
Инструкции для восстановления пароля высланы на
Смена региона
Идет загрузка...
Произошла ошибка... Повторить
правила комментирования материалов

Регистрация пользователя в сервисе РИА Клуб на сайте Ria.Ru и авторизация на других сайтах медиагруппы МИА «Россия сегодня» при помощи аккаунта или аккаунтов пользователя в социальных сетях обозначает согласие с данными правилами.

Пользователь обязуется своими действиями не нарушать действующее законодательство Российской Федерации.

Пользователь обязуется высказываться уважительно по отношению к другим участникам дискуссии, читателям и лицам, фигурирующим в материалах.

Публикуются комментарии только на тех языках, на которых представлено основное содержание материала, под которым пользователь размещает комментарий.

На сайтах медиагруппы МИА «Россия сегодня» может осуществляться редактирование комментариев, в том числе и предварительное. Это означает, что модератор проверяет соответствие комментариев данным правилам после того, как комментарий был опубликован автором и стал доступен другим пользователям, а также до того, как комментарий стал доступен другим пользователям.

Комментарий пользователя будет удален, если он:

  • не соответствует тематике страницы;
  • пропагандирует ненависть, дискриминацию по расовому, этническому, половому, религиозному, социальному признакам, ущемляет права меньшинств;
  • нарушает права несовершеннолетних, причиняет им вред в любой форме;
  • содержит идеи экстремистского и террористического характера, призывает к насильственному изменению конституционного строя Российской Федерации;
  • содержит оскорбления, угрозы в адрес других пользователей, конкретных лиц или организаций, порочит честь и достоинство или подрывает их деловую репутацию;
  • содержит оскорбления или сообщения, выражающие неуважение в адрес МИА «Россия сегодня» или сотрудников агентства;
  • нарушает неприкосновенность частной жизни, распространяет персональные данные третьих лиц без их согласия, раскрывает тайну переписки;
  • содержит ссылки на сцены насилия, жестокого обращения с животными;
  • содержит информацию о способах суицида, подстрекает к самоубийству;
  • преследует коммерческие цели, содержит ненадлежащую рекламу, незаконную политическую рекламу или ссылки на другие сетевые ресурсы, содержащие такую информацию;
  • имеет непристойное содержание, содержит нецензурную лексику и её производные, а также намёки на употребление лексических единиц, подпадающих под это определение;
  • содержит спам, рекламирует распространение спама, сервисы массовой рассылки сообщений и ресурсы для заработка в интернете;
  • рекламирует употребление наркотических/психотропных препаратов, содержит информацию об их изготовлении и употреблении;
  • содержит ссылки на вирусы и вредоносное программное обеспечение;
  • является частью акции, при которой поступает большое количество комментариев с идентичным или схожим содержанием («флешмоб»);
  • автор злоупотребляет написанием большого количества малосодержательных сообщений, или смысл текста трудно либо невозможно уловить («флуд»);
  • автор нарушает сетевой этикет, проявляя формы агрессивного, издевательского и оскорбительного поведения («троллинг»);
  • автор проявляет неуважение к русскому языку, текст написан по-русски с использованием латиницы, целиком или преимущественно набран заглавными буквами или не разбит на предложения.

Пожалуйста, пишите грамотно — комментарии, в которых проявляется пренебрежение правилами и нормами русского языка, могут блокироваться вне зависимости от содержания.

Администрация имеет право без предупреждения заблокировать пользователю доступ к странице в случае систематического нарушения или однократного грубого нарушения участником правил комментирования.

Пользователь может инициировать восстановление своего доступа, написав письмо на адрес электронной почты moderator@rian.ru

В письме должны быть указаны:

  • Тема – восстановление доступа
  • Логин пользователя
  • Объяснения причин действий, которые были нарушением вышеперечисленных правил и повлекли за собой блокировку.

Если модераторы сочтут возможным восстановление доступа, то это будет сделано.

В случае повторного нарушения правил и повторной блокировки доступ пользователю не может быть восстановлен, блокировка в таком случае является полной.

Чтобы связаться с командой модераторов, используйте адрес электронной почты moderator@rian.ru или воспользуйтесь формой обратной связи.