Украинский антивирусный центр сообщил, что последнюю неделю западными антивирусными компаниями и Internet-СМИ распространяется информация об опасной троянской программе, превращающей компьютеры пользователей в Proxy-серверы. Данная программа (она получила имена Proxy-MIGMAF, Trojan.Win32.Migmaf и т. д.) является Win32-приложением размером 46080 байт. Она не имеет механизма распространения и переносится с компьютера на компьютер либо при ручной рассылке сообщений по электронной почте, либо при помощи почтовых червей. Интересно отметить, что после запуска Trojan.Win32.Migmaf проверяет наличие в системе русской раскладки клавиатуры и при обнаружении таковой завершает свою работу.
При отсутствии же на зараженном компьютере русской раскладки клавиатуры выполняются следующие действия: при каждой загрузке в память Trojan.Win32.Migmaf проверяет наличие подключения к сети Internet и после обнаружения подключения на 5 минут “затаивается”. Затем троян активизирует процедуру Proxy-сервера, которая “слушает” всю информацию, поступающую на порт зараженного ПК и отправляет ее на определенный удаленный компьютер (вероятно, компьютер злоумышленника). Благодаря данной процедуре сей злоумышленник может посещать Web-сайты, маскируя свой адрес в глобальной сети под адрес пораженного компьютера.
По мнению специалистов украинского антивирусного центра, в связи с тем, что данная троянская программа самонейтрализуется на компьютерах, имеющих русскую раскладку клавиатуры, вероятность поражения ею компьютеров отечественных пользователей сводится к нулю. Тем не менее они призывают пользователей быть начеку. Дело в том, что подобная технология троянских Proxy-серверов позволяет злоумышленникам осуществить распределенную атаку, т. е. сосредоточить мощность всех пораженных компьютеров на “бомбардировку” одного или нескольких Web-ресурсов, выводя их из строя и принося их владельцам большие неприятности.
А вот как оценивает данную ситуацию руководитель информационной службы “Лаборатории Касперского” (www.kaspersky.com) Денис Зенкин: “Троянская программа Migmaf была обнаружена примерно полторы недели назад. Однако шумиха вокруг нее напоминает скорее истерию, нежели сообщение о реальной опасности. Во-первых, Migmaf не был первым троянцем такого типа (установка на зараженный компьютер Proxy-сервера). Во-вторых, он не был замечен ни одной антивирусной компанией в “диком виде”, т. е. не вызвал ни одного случая заражения. Шумиха была поднята малоизвестной американской компанией LURHQ, которая инициировала статью в New York Times, после чего и пошло-поехало... На мой взгляд, гораздо больший интерес представляет троянец Webber, подробное описание которого можно найти на сайте www.kaspersky.ru /news.html?id=1313476. Он использует ту же технологию установки Proxy-серверов, но в отличие от Migmaf имеет механизм саморазмножения и характеризуется большим числом случаев заражения пользовательских машин”.
В. М.
