Обнаружен первый в мире torrent-червь


Группой Anonimous бы обнаружен первый в мире пиринговый вирус, который не оставляет никаких следов на жестком диске и не способен быть обнаружен никаким антивирусом в принципе
Компьютерный червь представляет собой программу, написанную на C++, которая заражает EXE файлы Windows, при передачи их через популярный протокол torrent.

Когда зараженный файл запускается на компьютере человеком, он перехватывает отправление UDP пакетов, с помощью которых собственно и происходит обмен файлами.
Затем червь удаляет себя из файла, оставаясь таким образом только в оперативной памяти компьютера.

Весь расчет идет только на то, что неискушенный пользователь будет продолжать раздачу. При помощи уязвимости в протоколе, червь подменяет сигнатуру скачеваемого файла и дописывает себя «на лету», в момент отправки UDP пакетов.

Антивирусы не опознают червь, хотя на максимальном уровне эвристики способны блокировать его, определяя как упакованную программу в EXE файле.
Именно по этому к многим раздачам на трекерах создатели пишут просьбу отключать антивирус и файрвол перед установкой.

По предварительным рассчетам в пиринговых сетях ползает уже более 20 000 копий этого червя.


Технологии АНБ на службе России?

Изучив содержимое дизассемблированного кода, наши эксперты установили, что используемая уязвимость в torrent-клиентах существует как «закладка», то есть планировалась изначально. Теоретически, нахождение ее и тем более использование для обхода верификации по хешированию стремится к нулю.

Подобные закладки уже были диагностированы в RSA, к которому приложило руку АНБ. Особую пикантность придает то, что создатели этого популярного протокола публично говорят о создании специального чата, который будет защищен от слежки: http://news.cnet.com/8301-1023_3-57605331-93/bittorrent-experiments-with-secure-chat/

Однако самое интересное то, что этот червь имеет явно российские корни. Основная доля раздач идет с http://rutracker.org, а большинство IP — российские.

Похоже, что Сноуден действительно поделился информацией о закладках. Такие знания помноженные на силу ума российских программистов способны поставить кибер-атаки на новый уровень, заставив закладки АНБ работать на стороне потенциального противника.

Червь абсолютно безвреден, и является скорее всего первым блином. Но не COM-ом, а EXEC-ом.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.