Kompanija „Kaspersky Lab“ pasidalino informacija apie gana retą virusų atakos organizavimo atvejį, kuris nenumato kažkokių kenkėjiškų failų sukūrimo kietame diske: kenkėjiškas kodas vykdomas tiesiogiai operatyvioje atmintyje.
Viruso atako aukomis tapo žymių, patikrintų ir gerbiamų (daugiausia Rusijos) informacinių resursų tinklalapiai. Po įvykių analizės buvo nustatyta, jog kenkėjiškas kodas į vartotojų kompiuterius patenka per reklamos valdymo sistemą „AdFox“ (konkrečiu atveju – per apsikeitimą naujienų anonsais).
Tyrimo metu paaiškėjo, jog iš vienos „AdFox“ kliento paskyros nežinomi kibernetiniai nusikaltėliai į anonsų reklaminius skydelius įdiegė „iFrame“, kuris nukreipia į kenkėjišką svetainę. Tam, kad būtų galima patekti į atakuojamą sistemą, buvo naudojamas JAVA pažeidžiamumas, kuris kompanijos Oracle buvo „užlopytas“ dar 2011 m. spalio mėnesį, tačiau, deja, ne visi atnaujinimą įsidiegė.
„Bekūnis virusas“ užkraudavo užšifruotą dinaminę biblioteką tiesiai į proceso javaw.exe atmintį. Į kibernetinių nusikaltėlių nuotolinį serverį tokiu būdu imdavo plaukti duomenys apie vartotojų aplankytus puslapius bei papildoma tarnybinė informacija. Tai, kad failo su kenkėjišku kodu nėra kietame diske, apsunkina viruso aptikimą antivirusinėmis programomis. Tuo atveju, jei kenkėjiškas kodas bus sėkmingai įkrautas į sisteminio proceso atmintį, jis iš esmės taps nematomas.
Pavyko išsiaiškinti, jog jei kibernetiniams nusikaltėliams pavykdavo identifikuoti, jog aukos kompiuteryje naudojamasi internetinės bankininkystės paslauga, kenkėjiškas kodas papildomai bandydavo į sistemą parsiųsti ir įdiegti „Trojos arklį“ „Lurk“, kuris vogdavo konfidencialius duomenis. Po „Lurk“ ir nuotolinių serverių „bendravimo“ protokolo analizės paaiškėjo, jog per keletą mėnesių minėti nuotoliniai serveriai aptarnavo daugiau nei 300 000 užkrėstų kompiuterių.
Taigi galima dar kartą konstatuoti: reikia nuolat atnaujinti programinę įrangą, esančią jūsų kompiuteryje – ne tik operacinę sistemą, tačiau ir interneto naršykles, „Adobe Flash Player“ grotuvą, JAVA ir t.t.
