Ежедневно в глобальной сети появляется множество новых зловредов, этим заняты как программисты одиночки, так и многочисленные команды, финансируемые различными организациями и даже государствами. Редко какие из этих вирусов нельзя уничтожить. И мало кому удаётся сохранять продолжительное время свою невидимость от антивирусных программ.
Но не всегда это работает, специалисты из Лаборатории Касперского недавно именно такой вирус и обнаружили. Он практически неуязвим и работал на многих компьютерах аж шесть лет, не вызывая подозрений у защитного ПО. Название зловреда Slingshot, функционал вируса – слежка за пользователем заражённого компьютера. Троян перехватывает трафик, в том числе и зашифрованный, перехватывает всю работу с клавиатурой и мышью, делает и отправляет на сервер управляющего ПО скриншоты, всё, что юзер делает в сети, в программах. Выковыривает все пароли и также отсылает их владельцу зловреда.
Есть одна особенность у этого вируса, это метод его внедрения. Для этого не надо посещать сомнительные сайты, не надо устанавливать программы из сомнительных источников, атака и внедрение происходило через скрытую уязвимость в сетевом оборудовании – маршрутизаторе MikroTik. Конечно, уязвимость была опубликована, и производитель закрыл дыру, однако таких уязвимостей может быть много, и не только у данного производителя.
После проникновения в уязвимый маршрутизатор, троян подменяет одну из динамических библиотек, вредная копия которой подгружается в память при включении компьютера. То есть его на самом деле попросту нет на компьютере, поэтому уничтожить его невозможно. Он появляется только при включении, и на диске, а в памяти, то есть стирать антивирусу нечего. Также впечатляет уровень самозащиты трояна. Один модуль, из которых состоит ПО, называется Spork, предназначен он для того, чтобы собирать полную информацию о системе жертвы, о том, какие средства защиты установлены. Исходя из анализа этих данных, троян использует определённые оболочки сокрытия и методы внедрения. К примеру, троян использует неиспользуемую часть накопителя, создавая там шифрованную файловую систему. Этот буткит очень редкий, и только Slingshot его использует на таком уровне.
Пока автор трояна неизвестен, но, скорее всего, это англоязычный программист или команда программистов. Основные ботнеты трояна находятся в странах Африки и Ближнего Востока.
Не работает Steam – почему и что делать?
Безобидный мем в картинке? Не всегда!
Как исправить ноутбук сильно нагревается и выключается? Чистим кулер ноутбука
Перегревается ноутбук: какие причины и что предпринять
Код 19 не работает клавиатура на ноутбуке. Что делать?
Ноутбук не заряжается но работает от сетиПоделись мнением о статье "Обнаружен неубиваемый компьютерный вирус", предложи свой вариант в комментариях! Спасибо!