Sophos обнаружила троянскую программу, созданную для борьбы с пиратством

Sophos обнаружила троянскую программу, созданную для борьбы с пиратством

Специалисты Sophos обнаружили троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству.

Троян маскируется под mp3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида <имя>.mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий.

Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном Реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра. Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера mp3-файлам, превращая их в зараженные exe-шники того же вида (<старое имя>.mp3.exe).

Наконец, при каждой загрузке зараженной системы пользователю выдаётся сообщение на индонезийском языке с призывом прекратить воровать интеллектуальную собственность музыкальной индустрии и не использовать больше mp3. В Sophos ничего не говорят о том, умеет ли троян отличать музыкальные файлы, защищённые авторским правом, от тех, на которые действие копирайта не распространяется.

Стоит отметить, что в Windows по умолчанию скрываются стандартные расширения файлов, в том числе исполняемых, так что файлы вида <имя>.mp3.exe выглядят в Проводнике как <имя>.mp3. Эта практика сохранилась и в релиз-кандидате грядущей ОС Windows 7.

Источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Повышение до админа в Windows 11 теперь потребует авторизации через Hello

Компания Microsoft усилила защиту прав администратора Windows от злоупотреблений. Для выполнения задач на таком уровне теперь создаются одноразовые токены, автоповышение привилегий программами заблокировано.

О планах обновить этот механизм безопасности Windows 11 с целью предотвращения обхода UAC разработчик объявил в ноябре прошлого года.

Пользователям ОС по умолчанию назначаются минимальные права доступа. Когда какая-то операция требует большего, система выводит запрос, предлагая авторизоваться через Windows Hello, и по получении подтверждения генерирует токен, который уничтожается сразу после выполнения задачи.

Процедура повторяется каждый раз, когда нужен админ-доступ. Временные токены генерируются из-под скрытой, не связанной с локальным профилем юзера учетной записи — SMAA (System Managed Administrator Account).

Все возможности для автоматического (без уведомления пользователя) повышения прав процессов и приложений закрыты. Принятые меры призваны обеспечить дополнительную защиту от атак через повышение привилегий и усилить пользовательский контроль над взаимодействием софта с персональными данными.

Разработчикам Windows-приложений рекомендуется заранее предусмотреть сопряжение с обновленным фреймворком безопасности. При отсутствии таких планов придется воздержаться от дефолтного доступа продуктов к микрофону, камере, данным геолокации во избежание отказа важных функций и проблем с использованием.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru