Червь маскируется под Windows Genuine Advantage

05 июля 2006

Распространяющийся через систему мгновенных сообщений червь Cuebot-K маскируется под программу компании Microsoft по противодействию компьютерному пиратству

Эксперты SophosLabs™, глобальной сети центров по анализу вирусов, шпионского ПО и спама, входящих компанию Sophos, предупредили о появлении компьютерного червя, который маскируется под программу компании Microsoft, противодействующую незаконному копированию программного обеспечения – Windows Genuine Advantage (WGA).

Червь Cuebot-K притворяется "родной" программой Microsoft WGA, ставшей в последнее время предметом противоречивых сообщений в СМИ после обвинения в шпионаже за пользователями Windows путем сбора данных о программном и аппаратном обеспечении их компьютеров. Вскоре после этого компания Microsoft выпустила новую версию WGA и опубликовала информацию о том, как ее удалять с ПК.

Червь Cuebot-K распространяется через систему мгновенных сообщений AOL. Он регистрируется как служба нового системного драйвера "wgavn" с отображаемым названием "Windows Genuine Advantage Validation Notification" (Уведомление о подлинности Windows Genuine Advantage), после чего автоматически загружается во время запуска системы. Пользователи, просматривающие список служб, получают сообщение о том, что удаление или остановка данной службы приведет к нестабильной работе системы.

Инфицировав компьютер, червь отключает персональный межсетевой экран, входящий в состав Windows, и открывает «черный ход», через который хакеры получают удаленный доступ, шпионят за действиями пользователей ПК и могут совершать DDoS-атаки (распределенного отказа в обслуживании).

Червь отображается в списке служб как Windows Genuine Advantage Validation Notification (Уведомление о подлинности Windows Genuine Advantage)

"Люди могут подумать, что этот файл им прислал кто-то из их приятелей по системе мгновенных сообщений AOL, но на самом деле ничего дружественного в этой программе нет. Продвинутые пользователи Windows не удивляются, увидев имя WGA в списке служб, поэтому многие и не подозревают, что червь использует это название, чтобы скрыть сам факт заражения компьютера, - объясняет Грэм Клули (Graham Cluley), старший технический консультант компании Sophos. – Инфицировав компьютер, это вредоносное ПО отключает персональный межсетевой экран и открывает лазейку, с помощью которой хакеры могут получить удаленный доступ к вашему компьютеру с целью кражи информации, шпионажа и запуска атак типа DDoS".

Продукты компании Sophos обеспечивают защиту от вредоносного червя W32/Cuebot-K с 20:55 по Гринвичу 30 июня 2006 года.

Sophos рекомендует всем пользователям компьютеров использовать не только пакет программ для защиты от вредоносного ПО, сконфигурированный на режим автоматической установки обновлений, но также последние «заплатки» для применяемого системного ПО и персональный межсетевой экран.

О компании Sophos

Sophos является мировым лидером по созданию комплексных решений для противодействия угрозам безопасности. Компания разрабатывает защиту от известных и неизвестных вредоносных программ, шпионских программ, вторжений, нежелательных приложений, спама и нарушений политик безопасности для корпоративного сектора, образовательных и правительственных учреждений. Надежные и простые в эксплуатации продукты Sophos применяют для своей защиты более 35 миллионов пользователей более чем в 150 странах. Имея за плечами 20-летний опыт работы и глобальную сеть аналитических центров, компания быстро реагирует на возникающие угрозы – независимо от уровня их сложности – и заслужила всеобщее одобрение в отрасли за высочайший уровень удовлетворения потребностей клиентов.

См. также:

Источник: www.sophos.com

151

#ИБ