Специалисты из антивирусной компании Avast говорят об обнаружении вредоносного программного обеспечения Unitrix, использующего в своих интересах ряд особенностей кодировки Unicode, рассчитанных на пользователей языков арабской группы. Unitrix использует эти функции для маскировки вредоносных бинарных файлов и представления их как безопасных текстовых или видеофайлов.
Однако, необычный трюк, связанный с Unitrix, заключается в том, что хакеры, заразившие пользовательский компьютер при помощи Unitrix, не берут напрямую его в свои руки, а используют метод "pay per installation", то есть сдают в аренду другим кибербандам, чтобы те уже использовали мощности зараженного компьютера в своих интересах. Avast отмечает, что судя по методике работы Unitrix, он был создан хакерами из России или Украины, да и предназначен для аренды хакерами из этих же стран или других стран Восточной Европы.
Таким образом, можно сказать с определенной долей условности, что Unitrix является разновидностью даунлоадера, но открывающего путь к руткитам, троянцам и другим вредоносам.
По данным Avast, сейчас в сети циркулируют несколько версий данной разработки, каждая из которых подключается к разным "центрам дистрибуции" - серверам, с которых ведется скачивание фактических троянцев, червей и бекдоров. Исследованная Avast версия запрашивает адреса dns-grepfree.com, dateoncount.com и armaturan.ru.
Более подробная информация о работе Unitrix доступна в блоге Avast по адресу https://blog.avast.com/2011/09/07/unpacking-the-unitrix-malware/
|
