PrettyPark передает информацию с диска жертвы по каналам IRC
Новая разновидность «троянских коней», транслирующих в Internet файлы своих жертв, выходит на большую дорогу. Таково мнение производителей антивирусных программ. Несмотря на то что он схож с Melissa и Explore.Zip (все они используют для своего распространения системы электронной почты), новый червь может, кроме всего прочего, передавать информацию с жесткого диска жертвы по каналам Internet Relay Chat (IRC) по всему миру.
«Данный тип вируса идеален для плановых атак, — сказал Дэн Шредер, вице-президент по новым технологиям компании Trend Micro. — Если удается добраться до какого-нибудь компьютера, в котором хранится большой объем конфиденциальной информации, все секреты вылезают наружу».
Вирусы, использующие IRC в качестве средства добычи информации, появились около двух лет назад. Но впервые по-настоящему опасным стал вирус PrettyPark, заявивший о себе в июне во Франции. PrettyPark распространяется через приложения электронной почты. Опознавательный знак — пиктограмма с изображением героя из популярного комикса South Park. Как только пиктограмма раскрывается, вирус захватывает важнейшую информацию, например пароль пользователя, и передает его по каналам IRC. К счастью, PrettyPark, по всей видимости, пока не вышел за пределы Франции. Шредер объясняет это тем, что механизм «продления рода» на базе электронной почты этого вируса еще далек от совершенства.
Шредер считает, что лучшая профилактика вирусов на базе электронной почты типа «троянский конь» — это повышение уровня подготовленности пользователей и, разумеется, усовершенствование ПО сканирования вирусов. Кроме того, организациям следует придерживаться четкой политики в отношении присоединенных файлов электронной почты. С особой осторожностью следует относиться к документам, которые могут содержать макросы.
Сэл Виверос, менеджер группы маркетинга тотальной защиты от вирусов компании Network Associates, считает, что вирусные атаки потому приносят фирмам крупные неприятности, что о регулярном обновлении антивирусных программ никто не думает.
Инструментарий принудительного распространения обновления Enterprise SecureCast компании Network Associates обеспечивает обновление антивирусного ПО VirusScan и CyberCop на компьютерах пользователей при их входе в корпоративную сеть.
Системным администраторам работы прибавится. Виверос отметил, что количество «троянских коней», распространяющихся с электронной почтой, постоянно растет. Они легко проникают в компьютер пользователя с черного хода и выведывают пароли и идентификаторы во внутрикорпоративных сетях. «Гораздо легче запустить ?троянского коня? в тыл неприятеля, чем пытаться взламывать межсетевой экран», — считает Виверос.
PrettyPark проникает в систему в тот момент, когда пользователь открывает пришедший с сообщением электронной почты присоединенный файл с аналогичным названием. Оставаясь неопознанным, червь подсоединяет ПК пользователя к специальному каналу IRC, когда несчастный пользователь подключается к удаленному серверу, сидя в Сети или просматривая электронную почту.
Как только устанавливается соединение по IRC, создатель этого канала или его робот-программа может выгрузить файлы жертвы: пароли, идентификаторы, журнальные файлы и настройки операционной системы, а также другую персональную информацию, включая номера кредитных карт. PrettyPark посылает также дубликаты своих собственных файлов по всему списку адресов из адресной книги пользователя. Компании — разработчики антивирусных программ пытаются в настоящее время выяснить, кто же именно занимается сбором подобной информации.