Проведя в забвении какое-то время, вирусы типа Xpiro с шумом вернулись, и на этот раз – приобретя ряд опасных функций. Новый вариант не только вышел за рамки 32-битности и способен заражать 64-битные файлы. Это свойство также кроссплатформенно – 32-битный вариант Xpiro может заражать 64-битные файлы и наоборот.
• Intel 386 (32-бит)
• Intel 64 (64-бит)*
• AMD64 (64-бит)
Создатели Xpiro стремятся заразить большое число компьютеров, и в своем стремлении распространить эту весьма жизнестойкую угрозу они готовы пустить в ход все имеющиеся средства.
* Эта новая разновидность заражает файлы архитектуры Intel 64 лишь в связи с ошибкой в коде вируса, и в результате файлы просто оказываются поврежденными. ПО Symantec выявляет и восстанавливает такие файлы.
Усовершенствования в краже информации
Эксперты Symantec считают, что конечная цель вирусов семейства Xpiro – кража информации с зараженных систем. Когда Xpiro успешно запускается на компьютере, помимо заражения исполняемых файлов он устанавливает на браузеры Mozilla Firefox и Google Chrome дополнения. Дополнения для Firefox скрыто, а в Chrome оно названо Google Chrome 1.0, так что не привлекает к себе внимания пользователей. Например, firefox-дополнение может осуществлять следующие действия:
• отключить функции защиты браузера;
• осуществлять слежение за интернет-активностью пользователей;
• красть лог-файлы;
• перенаправлять пользователя на заранее определенные URL-адреса.
При запуске Firefox сразу после установки дополнения, пользователь видит сообщение об успешной установке, однако найти это дополнение в списке не удается.
Дополнение Xpiro оказывается скрытым, при этом отображаемое число установленных дополнений остается тем же, что и до заражения. Дополнение также меняет ряд настроек браузера, снижая тем самым степень его защищенности.
Когда пользователь пытается совершить обновление браузера или его дополнений, ничего не выходит, потому что Xpiro меняет соответствующий адрес страницы обновлений на браузер 127.0.0.1, локальный IP адрес. Тем самым Xpiro защищается от изменений, которые могли бы раскрыть его вредоносную сущность.
Создатели Xpiro расширили функционал новой угрозы, сделав ее жизнестойкой, более незаметной, а главное – дав ей способность заражать исполняемые файлы сразу нескольких архитектур. Эксперты Symantec ожидают, что вирусы других семейств последуют примеру Xpiro и также обзаведутся этим продвинутым функционалом с целью повышения своей конечной эффективности. Компания Symantec прилагает все усилия, чтобы защищать файлы и личные данные пользователей от таких продвинутых угроз. Антивирусное ПО Symantec определяет эти новые разновидности как W32.Xpiro.D и W64.Xpiro и осуществляет как нейтрализацию угроз, так и восстановление поврежденных файлов. Symantec настоятельно рекомендует своим клиентам всегда своевременно обновлять базы данных их антивирусного ПО.
