Среди наиболее распространенных вредоносных утилит полноценные файловые вирусы встречаются специалистам относительно редко. Именно поэтому приложение Win32.Sector, при помощи которого злоумышленникам удалось сформировать обширную вредоносную сеть, представляет большой интерес для антивирусных компаний. Аналитики «Доктор Веб» изучили данный вирус и оценили масштабы атаки.
Win32.Sector появился еще в 2008 году и представляет собой полиморфный вирус, способный скрытно инфицировать файлы и распространяться на другие ПК без участия пользователя. Основная функция вредоносной программы – загрузка и активация исполняемых файлов на ПК. Скачивание происходит через сеть P2P. Вредоносный модуль способен незаметно интегрировать свой код в активные процессы, а также блокировать активность популярных антивирусных программ. Win32.Sector способен внедрять код в файлы, расположенные на локальном диске и внешнем накопителе, а также файловые объекты, расположенные в общедоступных сетевых каталогах.
Архитектура вируса подразумевает полное отсутствие управляющих серверов – вместо этого используется интернет-соединение с другими ботами. Вредоносная утилита после инфицирования определяет, использует ли ПК внешний IP-адрес или работа происходит в локальной сети с использованием технологии NAT. После заражения ПК Win32.Sector использует собственный список с адресами других ботов для установки интернет-соединения. Если данный этап проходит корректно, вредоносная программа выполняет серию команд:
- Отправка запроса на загрузку списка URL для скачивания файлов с внешнего сервера (по протоколу UDP);
- Запрос списка плагинов (TCP-протокол);
- Проверка использования NAT – при его отсутствии вирусу присваивается уникальный идентификатор (для этого используется протокол UDP);
- Соединение с другим зараженным компьютером.
Третья команда позволяет вирусу работать в режиме маршрутизатора: к нему подключаются другие боты, не имеющие собственного IP-адреса (при работе в сети NAT). Четвертая команда позволяет вредоносной программе сформировать список IP-адресов других зараженных систем. Именно эти две функции позволили специалистам вычислить масштабы эпидемии.
По данным на 20 мая текущего года, ботнет Win32.Sector включал более миллиона ботов (1197739 зараженных ПК). При этом свыше 100 тысяч из них способны работать в режиме маршрутизатора.