Новый вирус одинаково легко заражает машины с Windows, Linux и Mac OS X // 02 Декабря 2012

Специалисты компаний F-secure и Sophos независимо обнаружили новый многоплатформенный вирус, который меняет стратегию заражения в зависимости от операционной системы пользователя. Сценарий распространения оказался довольно банальным: когда пользователь заходит на зараженный сайт, запускается Java-апплет, который спрашивает разрешения на исполнение своих функций. Как только разрешение пользователя получено, этот апплет определяет тип операционной системы и загружает в нее соответствующий троянец.

Впервые новый универсальный вирус для популярных настольных платформ был найден на сайте колумбийской компании Colombian Transport. Заверяя посетителей в том, что это всего лишь безвредный Java-апплет, вирус определяет операционную систему клиентской машины и загружает один из троянцев: Troj/JavaDl-NJ, Mal/Krap-D (оба для Windows), OSX/Dloadr-DPG (для Mac OS X) или Linux/Dldr-GV (соответственно, для Linux). Таким образом, после посещения зараженного сайта и согласия запустить апплет «никто не уйдет без подарков».

В каждом из трех случаев загруженные первоначально файлы запрограммированы на дальнейшие действия – они связываются с управляющим сервером злоумышленников и загружают дополнительные компоненты. Стоит заметить, что на данный момент не удалось зафиксировать ни одного факта такой загрузки своевременная реакция антивирусных специалистов заставила злоумышленников отключить управляющие серверы, так что пока вирусу просто не с кем связываться, явки провалены. Информация о сервере управления и зараженном сайте передана в соответствующие правоохранительные органы.

В свете появление новой мультиплатформенной угрозы хочется заметить, что это далеко не первый случай появления подобных атак, но они все еще остаются довольно редкими на фоне других, более традиционных угроз. Тем не менее, компании F-Secure и Sophos считают новый вирус довольно опасным, поскольку механизм его распространения слишком уж прост, чтобы доверчивые пользователи могли заподозрить что-либо вредоносное в разрешении на запуск Java-апплета с обычного веб-сайта.

По материалам сайтов The Register и Sophos.