Sophos сообщает о новом вирусе семейства ZeroAccess, который является дроппером, размещающим себя в двух местах – папке %Program Files% и AppData. Каждая копия находится в папке, которая выглядит так, как будто она являтеся частью продукта Google. В названии используются непечатные символы, которые очень трудно обнаружить через функционал поиска в некоторых версиях ОС Windows.
Получив доступ к папке, эксперты выяснили, что в путях к некоторым файлам используются необычные символы Unicode. После проведенного анализа специалистам удалось установить, что эти символы были написаны справа налево, как в иврите. Зачастую вирусописатели используют такую технику для того, чтобы скрыть расширение вредоносных исполняемых файлов.
В случае с ZeroAccess такое расположение символов Unicode позволяет надежно спрятать вредоносные файлы и затрудняет их удаление.
После инфицирования компьютера вредоносная программа подключается к пиринговой сети и загружает модули, отвечающие за кражу кликов.
Эксперты отмечают, что обновленный вариант ZeroAccess продолжает активно развиваться, а главной задачей его разработчиков является продление срока его пребывания на компьютере жертвы и усложнение процесса его удаления.
Источник: soft.mail.ru
