Обнаружен кибершпион, использующий концептуальный код от исследователя

Исследователи из компании Eset обнаружили вредоносную шпионскую программу, применяющую необычные методы маскировки. Вредонос, получивший название Win32/Syndicasec.A, исполняет в Windows 7 привилегированные команды в обход механизма UAC.

Вирус пользуется дефектом белого списка UAC, задокументированным еще в 2009 году Лео Дэвидсоном, причем практически без изменений применяется код, предложенный самим исследователем в качестве образца. С его помощью запускается другой компонент, регистрирующий посторонний код JavaScript в сервисе Windows Management Instrumentation. Этот код, в свою очередь, загружает RSS-поток блога, созданного на бесплатном сервисе. Теги «постов» в зашифрованном виде содержат ссылки на реальные управляющие серверы вируса. Как выяснили исследователи, атакующие просматривают файловую систему зараженных хостов, а также собирают информацию о сетевых настройках, накопителях и работающих программах.

Судя по датам файлов, шпион действует как минимум с лета 2010 года. Как сообщают в Eset, масштаб заражения невелик и охватывает только Непал и Китай. Точную цель операции выяснить не удалось, но ряд признаков указывает на то, что она направлена против тибетских сепаратистов.