Sophos сообщает о новом вирусе семейства ZeroAccess, который является дроппером, размещающим себя в двух местах – папке %Program Files% и AppData. Каждая копия находится в папке, которая выглядит так, как будто она является частью продукта Google. В названии используются непечатные символы, которые очень трудно обнаружить через функционал поиска в некоторых версиях ОС Windows.
Получив доступ к папке эксперты выяснили, что в путях к некоторым файлам используются необычные символы Unicode. После проведенного анализа специалистам удалось установить, что эти символы были написаны с права на лево, как в иврите. Зачастую вирусописатели используют такую технику для того, чтобы скрыть расширение вредоносных исполняемых файлов.
В случае с ZeroAccess такое расположение символов Unicode позволяет надежно спрятать вредоносные файлы и затрудняет их удаление. После инфицирования компьютера вредоносная программа подключается к пиринговой сети и загружает модули, отвечающие за кражу кликов. Эксперты отмечают, что обновленный вариант ZeroAccess о том, что вирус продолжает активно развиваться, а главной задачей его разработчиков является продление срока его пребывания на компьютере жертвы и усложнение процесса его удаления. (Sophos/NovostIT)