Уже давно вышли из тренда и стали скорее раритетом, чем актуальной угрозой, вирусы, замещающие программный код запущенных системных процессов и заражающие исполнительные файлы. Но не так давно «Лаборатория Касперского» обнаружила именно такую вредоносную активность в компьютерных сетях. Решения Kaspersky детектируют зловред и его компоненты как Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.b и Trojan-PSW.Win32.Coins.nav – назван он кратко KBOT.
Эксперты группы компаний Angara поясняют принцип работы вируса КВОТ.
Исполняемый код вируса записывается поверх файла EXE в начале или в конце программы, после чего ПО перестают запускаться. Когда пользователь пытается обычным способом открыть зараженную программу, выдается ошибка (например, «Not enough memory»), либо кажется, что ничего не происходит. Но таким образом он запускает вирус. Зараженные exe-файлы, как правило, уже не подлежат восстановлению - зловред пишется в программу поверх оригинального кода.
Есть также алгоритм заражения через вирус-спутник - для каждого *.exe файла создается дубликат исходника с вирусным кодом с тем же именем и местом расположения, но с расширением *.com. Зловред активируется, если при запуске программы в командной строке не указано расширение файла, а только его имя, - в свойствах DOC системы присутствует приоритет для запуска *.com над *.exe файлами. Сам же вирус активирует нужный ему файл EXE, при этом для пользователя выполнение вредоносного кода остается незамеченным.
При загрузке системы КВОТ может заражать системные библиотеки и размещать их рядом с системным файлом - выполнить так называемый «DLL hijacking».
В результате ряда действий вирус закрепляется в компьютере жертвы для последующей кражи чувствительных данных.
Слабое место этого типа вирусов – слишком грубая работа, его достаточно легко обнаружить. Для детектирования и удаления зловреда подойдут антивирусные и EDR-решения. Группа компаний Angara имеет в своем портфеле продукты ведущих производителей данного класса средств защиты информации и сертифицированных специалистов с большим опытом работы, в том числе с решениями «Лаборатории Касперского». По вопросам тестирования и приобретения обращайтесь по телефону 8 (495) 269-26-06 или e-mail info@angaratech.ru
