Вирусописатели научились отлично маскировать вредоносное ПО

14 мая 2014 - Adminator

Специалисты Trustwave обнаружили образец вредоносной программы, которая собирает введенные в веб-формах данные для отправки злоумышленникам. Что самое интересное - этот вирус представляется системе модулем сервиса IIS (Internet Information Service) от компании Microsoft.

 
Продукт умов злых гениев, названный ISN, на данный момент еще недостаточно сильно распространен, однако специалистам в области безопасности он видится инструментом с очень интересным функционалом. По своей сути ISN является вредоносной динамической библиотекой (DLL), устанавливающейся в систему под видом модуля для IIS. Интересен тот факт, что установщик вируса содержит 4 версии DLL, одна из которых отвечает за определение используемой атакуемой системой 32- или 64-битной версии IIS, причем также способна определить и версию самого сервиса - 6 или 7+.
 
Огромную опасность представляет неспособность антивирусов определить в этой программе вредоносный объект. Если что и имеет возможность увидеть некую опасность в установщике ISN, то только эвристический анализатор, который способен разглядеть часть, отвечающую за отправку данных на удаленный сервер. Именно такой функционал видится большинству антивирусов потенциальной угрозой для пользователя.
 
Вирус ISN собирает данные из так называемых POST запросов, проходящих через IIS, что позволяет ему обходить шифрование. Также модуль может быть сконфигурирован и для отслеживания данных с конкретных идентификаторов URI (uniform resource identifier). При помощи собственного функционала собранная информация затем отсылается на некий удаленный ресурс.
 
Специалистами Trustwave основная задача ISN видится в краже данных о кредитных картах и сайтах электронной коммерции, но он с легкостью может "заняться" кражей логинов и любой другой важной информации о пользователе. Пока компьютерный мир спасает слабая распространенность этой разновидности вредоносного ПО, но учитывая его способность отлично маскироваться и неумение обнаруживать его модули антивирусным ПО дают основание предполагать, что очень скоро проблема вируса ISN даст о себе знать.
 
Стоит отметить, что специалисты Trustwave с помощью своего блога SpiderBlog уже уведомили разработчиков антивирусных программ о надвигающейся угрозе. Остается надеяться, что меры по предотвращению нежелательных последствий от распространения ISN будут приняты незамедлительно.
Комментарии (0)

Нет комментариев. Ваш будет первым!