ДомойСтрелочка
Пресс-центр
Стрелочка
Информационная безопасность
СтрелочкаНайден вредоносный код, функционирующий в оперативной памяти

Найден вредоносный код, функционирующий в оперативной памяти

Интересную атаку обнаружили эксперты «Лаборатории Касперского». В ее ходе злоумышленники применяли вредоносную программу, которая способна функционировать без необходимости создания файлов на инфицированной системе. Чтобы распространить вредоносный код, злоумышленниками использовалась тизерная сеть, которая включала в себя несколько популярных ресурсов российских новостей.

В процессе проведенного исследования, специалисты установили, что заражению были подвергнуты посетители ряда российских СМИ, работающие в онлайн режиме. СМИ использовали тизеры сети, которые были организованы с помощью технологии AdFox. После того как пользователь загружал какой-нибудь тизер новостей, его браузер тайно перенаправлялся на сайт-вредитель, который содержал Java-эксплойт. Но отличием от обычных атак drive-by вирус не загружался на жесткий диск, а функционировал «обходясь» исключительно оперативной памятью компьютера.

Работая как бот, вредитель отправлял запросы на сервер злоумышленников, а также собирал информацию о посещении сайтов из пользовательского браузера. Если в данных была информация о том, что пользователь обращался дистанционно к банку, то на инфицированный ПК устанавливалась троянская программа Lurk, целью которой являлось похищение конфиденциальных данных пользователя с тем, чтобы впоследствии иметь доступ к онлайн банкингу нескольких крупных банков России.

Но расследование установило, что сеть AdFox сама по себе не является источником инфицирования. Изменения в баннерный код новостных анонсов посредством присоединения к ним ссылки на сайт-вредитель были сделаны злоумышленниками с использованием аккаунта одного из пользователей AdFox. В результате они сумели атаковать не только посетителей конкретного новостного ресурса, но и других сайтов, использующих у себя подобную систему. А это значит, что потенциально атакованными могут быть десятки тысяч пользователей.

Хотя «бестелесные» вирусы могут работать только до момента перезагрузки ОС, вероятность, что посетитель снова попадет на новостной сайт, который заражен, довольно высокая. Сотрудники «Лаборатории Касперского» заявляют, что единственным способом, который надежно защитит ваш ПК от вредоносных программ, может считаться своевременное обновление. В рассматриваемом случае для того чтобы устранить CVE-2011-3544 уязвимость в Java следует установить патч от Oracle.


Ваши соображения
Как вас зовут
Электропочта для ответа

Расскажите о неисправности

Ваш адрес

Например, так: ст. м. Медведково, ул. Полярная дом 28, кв. 45


Дата и время для визита

Например, так: «18 августа, в 18 часов» или «Завтра вечером»


Как вас зовут

Контактный телефон +7

Например, так: 9051234567


ОтправитьСтрелочка