Kaspersky: Wirus rezydujący w pamięci RAM atakuje z rosyjskich portali

Specjaliści z rosyjskiej firmy Kaspersky Lab wykryli nowy typ złośliwego oprogramowania, które atakuje komputery wykorzystując luki w Javie i nie tworzy na dysku zarażonej maszyny żadnych plików - zamiast tego "szkodnik" rezyduje w pamięci RAM.

Z analiz przeprowadzonych przez Kaspersky wynika, że ów złośliwy program przez kilka ostatnich dni atakował użytkowników odwiedzających popularne rosyjskie witryny informacyjne - m.in. serwisy www.ria.ru oraz www.gazeta.ru. Na stronach tych osadzono exploita, który za pośrednictwem luki w Javie infekował komputery internautów złośliwym kodem. Wiadomo już, że winnymi są tu nie administratorzy wymienionych powyżej serwisów, lecz zewnętrzna sieć reklamowa AdFox, która dostarczyła zainfekowane treści reklamowe.

Najciekawszym aspektem tej historii jest wyjątkowo nietypowe złośliwe oprogramowanie, dostarczane z wykorzystaniem owego exploita. Ów program nie instaluje się klasycznie w systemie operacyjnym i nie zapisuje lokalnie swojej kopii - aplikacja funkcjonuje wyłącznie w pamięci operacyjnej.

Zobacz również:

"W takich sytuacjach zwykle mamy do czynienia z programami, które instalują się na dysku. Tu było inaczej - złośliwa biblioteka DLL działała jedynie w pamięci RAM, "przyczepiona" do standardowego procesu Javy. Takie oprogramowanie jest wykorzystywane przez przestępców bardzo rzadko - głównie dlatego, że działa ono bardzo krótko, zwykle do pierwszego restartu systemu" - komentuje Sergey Golovanov z Kaspersky Lab w firmowym blogu.

Golovanov zwraca uwagę, że w tym przypadku przestępcy nie musieli się obawiać o czas trwania infekcji - prawdopodobnie założyli, że jeśli ktoś raz wszedł na zainfekowaną stronę informacyjną, to wejdzie na nią również w kolejnych dniach i ponownie "złapie" złośliwe oprogramowanie.

Z przeprowadzonych przez firmę analiz wynika, że złośliwa aplikacja wykazuje wszystkie cechy klasycznego bota - rejestruje i wysyła na zdalny serwer dane przechwycone w zainfekowanym systemie, a także przyjmuje i wykonuje polecenia wysłane od operatora botnetu

Specjaliści podkreślają, że najlepszą metodą zabezpieczenia się przed takim atakiem jest aktualizowanie na czas oprogramowania (luka w Javie wykorzystywana przez opisanego powyżej exploita została już załatana przez producenta). Skutecznym zabezpieczeniem może być również program antywirusowy, który będzie na bieżąco skanował dane przesyłane ze stron przeglądanych przez internautę.


TOP 200