По данным специалистов компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты.
Mebroot (Backdoor.Win32.Sinowal), заражает компьютеры пользователей через взломанные веб-сайты. Загружаемый им троянский компонент (Torpig, он же Sinowal и Anserin) ориентирован на кражу конфиденциальной информации и, используя руткит как платформу, реализует широкий спектр шпионских функций.
Авторы Mebroot постоянно совершенствуют свой руткит. Недавно они усилили его защиту от тех антивирусов и специализированных утилит, которые его обнаруживают и пытаются вылечить систему. Чтобы обеспечить эффективное удаление данной вредоносной программы, некоторые антивирусные компании реализовали в своих продуктах мгновенную перезагрузку компьютера сразу после излечения зараженного MBR, причем реализовали это через вызов специальной функции ядра — BugCheck.
Специалисты Prevx обнаружили, что новый вариант Mebroot в качестве меры противодействия теперь использует процедуру уведомления о вызове — специальную функцию обратного вызова callback — и в момент вызова перезагрузки имеет возможность проверить MBR. Если MBR вылечен, новый Mebroot восстанавливает зараженный MBR до перезагрузки системы.
Компания «Доктор Веб» сообщила о появлении новой опасной модификации троянской программы-бэкдора Tdss. По имеющейся у специалистов «Доктор Веб» информации, на момент выхода
"Лаборатория Касперского" информирует о появлении троянской программы, выдающей себя за несуществующий антивирусный продукт компании. Троянская программа, требующая отправки платного SMS-сообщения