Кросплатформенные вирусы Xpiro – новая стадия развития
Корпорация Symantec обнародовала сведения о новой стадии распространения вируса типа Xpiro, который становится самым массовым кросплатформенным вирусом. Новая угроза отличается крайней жизнестойкостью, а внедрив дополнения для браузеров Mozilla Firefox и Google Chrome, вирус может расширить свои возможности кражи информации.
Вирусы типа Xpiro, на какое-то время забытые, вернулись, и приобретя ряд опасных функций. Новый вариант не просто способен заражать 64-битные файлы, это свойство также кроссплатформенно: – 32-битный вариант Xpiro может заражать 64-битные файлы и наоборот.
По оценкам аналитиков Symantec, Xpiro – первый кроссплатформенный вирус, получивший такое широкое распространение. Новая разновидность может заражать исполняемые файлы следующих архитектур: Intel 386 (32-бит), Intel 64 (64-бит), AMD64 (64-бит).
Традиционно вирусы распространяются посредством заражения других исполняемых файлов, при этом их создатели не заботятся об их жизнестойкости. В рассматриваемой угрозе применена хитроумная уловка, которая учитывает и эту сторону. Сначала вирус создает список всех служб win32 и пытается заразить файлы этих служб. Затем угроза просматривает все ярлыки (файлы расширения .lnk) на рабочем столе и в меню «Пуск» и пытается заразить файлы, к которым они ведут. Предпочтение отдается именно этим файлам, потому что есть высокая вероятность их запуска пользователем или системой при включении компьютера, что обеспечивает работу вируса даже после ряда перезагрузок. И наконец, вирус заражает все исполняемые файлы на всех – локальных, переносных и сетевых – дисках от C до Z.
Эксперты Symantec считают, что конечная цель вирусов семейства Xpiro – кража информации с зараженных систем. Когда Xpiro успешно запускается на компьютере, помимо заражения исполняемых файлов он устанавливает дополнения на браузеры Mozilla Firefox и Google Chrome: дополнение для Firefox скрыто, а в Chrome оно названо Google Chrome 1.0, так что не привлекает внимания пользователей. Например, дополнение для Firefox может выполнять следующие действия: скрывать собственное присутствие; отключить функции защиты браузера; следить за интернет-активностью пользователей; красть лог-файлы; перенаправлять пользователя на заранее определенные URL-адреса.
При запуске Firefox сразу после установки дополнения пользователь видит сообщение об успешной установке, однако найти это дополнение в списке не удается. Дополнение Xpiro оказывается скрытым, при этом отображаемое число установленных дополнений остается тем же, что и до заражения. Дополнение также меняет ряд настроек браузера, снижая тем самым степень его защищенности.
Когда пользователь пытается провести обновление браузера или его дополнений, это не получается, потому что Xpiro меняет соответствующий адрес страницы обновлений на браузер 127.0.0.1, локальный IP-адрес. Тем самым Xpiro защищается от изменений, которые могли бы раскрыть его вредоносную сущность. Кроме того, это скрытое дополнение отключает отображение ряда оповещений, связанных с безопасностью, а также функций, которые обычно защищают пользователей от фишинговых атак.
Xpiro отслеживает всю HTTP-активность браузера и отправляет эту информацию на удаленный сервер. После этого он скачивает с заранее определенных серверов URL-адреса цели и URL-адреса перенаправления. И когда пользователь вводит в адресную строку один из «целевых» адресов, дополнение перенаправляет его на один из адресов из второго списка. Это может быть как страница с рекламой, так и ссылка для скачивания другого вредоносного ПО.
Создатели Xpiro расширили функционал новой угрозы, сделав ее жизнестойкой, более незаметной, а главное – дав ей способность заражать исполняемые файлы сразу нескольких архитектур. Эксперты Symantec ожидают, что вирусы других семейств вслед за Xpiro также получат этот продвинутый функционал.
Антивирусное ПО Symantec определяет новые разновидности вируса как W32.Xpiro.D и W64.Xpiro и проводит как нейтрализацию угроз, так и восстановление поврежденных файлов.