Пользователи Yahoo Instant Messenger под ударом сетевого червя

Александр Панасенко 07 Мая 2010 - 12:20

...

Антивирусная компания Symantec сегодня предупредила пользователей популярной системы интернет-сообщений Yahoo Instant Messenger о рассылке вредоносного кода, направленного на инфицирование компьютеров под управлением ОС Windows. Злоумышленники, рассылающие интернет-червя, маскируют двоичный код программы под графический JPG-файл с фотографией якобы одного из пользователей, находящегося в контакт-листе жертвы.

Symantec отмечает, что в большинстве случаев для рассылки сетевого червя используются автоматизированные сообщения, содержащие слова photo иди photos, а также большое количество смайликов. По словам экспертов Symantec, зафиксированные на сегодня образцы вредоносного кода работают только под Windows, пользователи других ОС, например Mac OS X, также могут получить червя, но для этих систем он не представляет опасности.

В Windows пользователь получает интернет-червя и при попытке запуска файла происходит его активация. Во-первых, червь начинает рассылать свои копии по всему контакт-листу пользователя, а во-вторых, он заменяет собой код файла %WinDir%/infocard.exe и добавляет свои коммуникационные данные в белый список Windows Firewall. Позже червь модифицирует реестр и отключает на компьютере доступ к Windows Update.

В Symantec идентифицировали найденного сетевого червя, как W32.Yimfoca. Согласно данным описания, Yimfoca инфицирует Windows c версии 98 до версии Vista. Windows 7 данный интернет-червь не опасен.

По данным Symantec Security Response, авторы указанного сетевого червя создают также и бот-сеть из компьютеров, ранее инфицированных при помощи Yimfoca.

В Yahoo говорят, что в курсе ситуации с рассылкой опасного интернет-червя и прилагают усилия для его блокировки. "Как и всегда, мы рекомендуем крайне осторожно относиться к любым сообщениям, получаемым от неизвестных отправителей", - говорят в Yahoo.

Источник

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Мая 2026 - 09:00

Linux Бэкдоры Руткиты Трояны Домашние пользователи Корпорации

Linux-руткит для разработчиков: Quasar крадёт ключи и токены

Исследователи из Trend Micro обнаружили ранее неизвестный Linux-вредонос Quasar Linux (QLNX). По словам экспертов, зловред нацелен на системы разработчиков и DevOps-среды, а также сочетает в себе функции руткита, бэкдора и способен перехватывать учётные данные.

Главная опасность QLNX в том, что он бьёт не просто по отдельным рабочим станциям, а по окружениям, где живут ключи, токены и доступы к инфраструктуре разработки.

Операторов интересуют npm, PyPI, GitHub, AWS, Docker и Kubernetes, что может открыть прямой путь к атакам на цепочки поставок софта.

По данным Trend Micro, после попадания в систему QLNX старается закрепиться максимально незаметно. Он работает в памяти, удаляет исходный бинарный файл с диска, чистит логи, подменяет имена процессов и убирает следы из переменных окружения, которые могли бы помочь при расследовании.

Для устойчивости имплант использует сразу несколько механизмов закрепления: LD_PRELOAD, systemd, crontab, init.d-скрипты, XDG autostart и внедрение в .bashrc. Если один способ не сработает или процесс завершат, у вредоносной программы остаются другие варианты вернуться.

Отдельно исследователи выделяют руткит-составляющую QLNX. Она работает на двух уровнях: через userland LD_PRELOAD и через eBPF-компонент на уровне ядра. Это позволяет скрывать процессы, файлы, сетевые порты и другие следы активности. Причём часть компонентов QLNX динамически компилирует прямо на заражённой машине с помощью gcc.

Функциональность у вредоноса внушительная. Он может открывать удалённую оболочку, управлять файлами и процессами, перехватывать учётные данные, собирать SSH-ключи, данные браузеров, облачные и developer-конфиги, содержимое /etc/shadow и буфера обмена. Есть также кейлоггер, снятие скриншотов, мониторинг файловой системы, SOCKS-прокси, TCP-туннелирование, сканирование портов и инструменты для перемещения по сети через SSH.

Trend Micro пока не раскрывает данные о конкретных атаках и не связывает QLNX с определённой группировкой. Масштаб распространения тоже остаётся неясным. На момент публикации зловред детектировали только четыре защитных продукты, поэтому риск незаметного присутствия в инфраструктуре выглядит вполне реальным.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!