«Пандемия» - действительно новый зловред

Новыми образцами вредоносного ПО, к сожалению, в наши дни никого не удивишь. Однако находка экспертов компании RSA стоит особняком. Они обнаружили действительно новый зловред, получивший название «Пандемия». Особенность его состоит в том, что 25 тысяч строк кода, использованных для написания «Пандемии», практически ни в чем не совпадают с кодами прежних зловредов.

«Это совсем не частая ситуация, - объясняет исследователь RSA Эли Маркус. – Как правило, новые образцы вредоносного ПО оказываются вариациями на темы уже существующих зловредов и активно используют их код». Создатели «Пандемии» решили пойти своим путем. Им удалось создать достаточно опасного троянца, способного, например, похищать данные пользователей, создавать фальшивые веб-страницы и делать скриншоты экрана инфицированных машин, отправляя их на серверы, подконтрольные киберпреступникам. Зловред имеет модульную структуру и может дополняться различными функциями. В частности, в ближайшее время его создатели обещают создать модуль для Facebook-атак. Для коммуникации с командными серверами «Пандемия» использует шифрование, что затрудняет обнаружение троянца.

Андрей Колесников, директор Координационного центра национального домена сети Интернет, считает, что современные антивирусные системы снабжены специальными интеллектуальными модулями и системами оповещения через облака, благодаря чему они могут распознавать и пресекать различные интернет-угрозы на ранней стадии, не давая им широко распространяться. «По всей видимости, создатели новой вредоносной программы решили выпустить вирус, который будет сложно распознать по имеющимся базам данных, и для этого написали весь код с нуля, не опираясь на предыдущие образцы, так как именно фрагменты старого кода в основном и позволяют распознавать новые зловреды», - сказал он.

Пока «Пандемия» не слишком распространена. Эксперты объясняют это двумя причинами. Первая – новизна зловреда. Многие киберпреступники предпочитают полагаться на «проверенное» вредоносное ПО – скажем, Zeus или Citadel. Вторая причина – высокая цена троянца. В «базовой комплектации» он предлагается на черных интернет-рынках за 1500 долларов; версия, включающая модуль для обновлений, стоит 2000. Основной способ распространения «Пандемии» - попутные загрузки, использующие бреши такого традиционно уязвимого ПО как Java, Silverlight или Flash. Однако «Пандемия» уже входит в состав нескольких наборов эксплойтов, что позволяет ожидать более широкого ее распространения в ближайшее время.