Загрузка...
Создать учётную запись

17 окт

Китайский канкан

ESET сообщила об обнаружении потенциально вредонесущих модулей в популярнейшем загрузочном менеджере Xunlei (Thunder). Входящие в эту программу компоненты тайком от пользователя собирают информацию, а кроме того, производят установку дополнительных приложений на Android-устройства.


Всё семейство компонентов данного вируса детектируется продуктами ESET NOD32 в качестве Win32/Kankan.


Файлообменный клиент Xunlei (с китайского переводится как «удар молнии») разработан фирмой Thunder Networking Technologies. На сегодняшний день сайт Xunlei за месяц посещают свыше 400 миллионов человек, а по числу активных пользователей он превосходит даже широко известный файлообменник uTorrent.


Примерно в середине августа сотрудники ESET обратили пристальное внимание на необычные компоненты Xunlei, в чьём поведении был замечен нестандартный функционал. Кроме возможностей, которые привычны для менеджера загрузок, эти элементы обнаружили потенциально вредонесущие компоненты, используемые в роли бэкдоров (с англ. backdoor, что значит «черный ход»).


Данные компоненты выполняют скрытую загрузку и последующую установку на пользовательский компьютер дополнительного ПО, а кроме того, пересылают информацию о заражённой системе на мошеннический удаленный сервер. Помимо того, специалисты компании выявили модуль, способный устанавливать приложения как непосредственно на ПК, так и на подключаемое к нему устройство, находящееся под управлением Android. Естественно, все действия такого плана осуществляются втайне от пользователя.

 

 


Надо сказать, эти компоненты подписаны при помощи цифрового сертификата фирмы-разработчика, благодаря чему они имеют статус т. н. доверенных файлов.


Внимательный анализ компонентов из загрузчика продемонстрировал, что с целью их запуска и последующего обеспечения «выживаемости» в ОС использовался пакет Microsoft Office.


Стоит пользователю запустить любое из приложений данного программного пакета – Excel, Word или другое, – и в память, замаскировавшись под плагин данного приложения, подгружается специализированная динамическая библиотека загрузчика Xunlei.


Данная библиотека содержит в себе функционал бэкдора, при помощи которого она направляет информацию о заражённой ОС пользователя на сервер злоумышленников. Кроме того, она способна распознавать ПО, направленное на отслеживание ее неправомерной активности.


Ещё один из запускаемых компонентов Xunlei – это своеобразный «апдейтер», который выполняет загрузку на ПК пользователя сторонних файлов с их последующей активацией. Как только вышеперечисленные действия совершены, происходит запуск последнего компонента, т.н. «сервиса», отвечающего за исполнение разнообразных команд.

 

 


Особенный интерес вызывает команда installphoneapp, применяющаяся для загрузки apk-файлов с их последующей установкой на мобильное устройство, работающее на Android, подключенное к ПК по USB. Эти приложения имеют, в том числе, рекламную направленность. Совершаются данные действия в скрытом режиме.


Решения NOD32 определяют приложение Xunlei в качестве нежелательного; его потенциально вредонесущие модули в антивирусную базу были добавлены под названием Win32/Kankan.


Более подробную информацию об угрозе вы сможете найти блоге ESET: habrahabr.ru/company/eset/blog.

 
Источник: www.esetnod32.ru
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.