Symantec сообщает о новой волне опасного вируса Xpiro
Действие вируса происходит следующим образом: вначале создаётся список всех служб win32 с последующим заражением входящих в него файлов, а затем производится просмотр всех ярлыков на Рабочем столе и в меню "Пуск", после чего атаке подвергаются их рабочие программы. В конечном итоге вирус заражает все исполняемые файлы на локальных, переносных и сетевых дисках от C до Z. Считается, что действие вируса направлено на кражу информации.
Список дополнений браузера до заражения
Список дополнений браузера после заражения (дополнение Xpiro скрыто)
Отключенные функции безопасности браузера
Невозможность обновления вследствие действий Xpiro
В случае успешного запуска Xpiro автоматически инсталлирует дополнения на браузеры Mozilla Firefox и Google Chrome, причём для Firefox оно является скрытым, а в Chrome проходит под названием Google Chrome 1.0. Дополнение для Firefox отключает функции защиты, следит за интернет-активностью, крадёт log-файлы и направляет пользователя на заранее прописанные URL-адреса. Появляется сообщение об успешной установке дополнения, однако в списке оно отсутствует.
По словам экспертов Symantec, вирусы других семейств могут взять на вооружение принцип Xpiro и изобрести похожий механизм атаки. Для защиты от вирусов Xpiro Symantec использует собственные системы безопасности и рекомендует своевременно обновлять антивирусные базы.
