Специалисты компании Symantec обнаружили
бэкдор в Windows-приложении для USB-зарядки Energizer DUO. Вредоносный
код умеет выполнять ряд команд, полученных с удалённого компьютера,
вплоть до загрузки и запуска исполняемого файла.
Energizer DUO — это устройство для зарядки пары
никель-металлогидридных аккумуляторов типа AA или AAA через USB-разъём
компьютера. Оно прекрасно справляется со своей задачей без какого-либо
софта, однако при желании с сайта разработчика можно скачать и
установить программу, которая показывает текущий статус аккумуляторов.
Существует как Windows-, так и Mac-версия этой программы, но только
первая, как выяснилось при внимательном изучении, содержит вредоносный
код. После её успешной установки компьютер потенциально способен стать
частью ботнета.
Отмечается, что бэкдор по запросу извне умеет пересылать содержимое
дисков компьютера, начиная от списков папок и файлов и заканчивая
самими файлами, создавать и удалять файлы, а также загружать их и
выполнять. Иными словами, на целевой компьютер может быть установлено
что угодно, начиная от лже-антивируса и заканчивая банковским трояном.
Примечательно, что инсталлятор с вредоносной начинкой датируется
маем 2007 года, но только сейчас он заинтересовал борцов с вирусами.
Каким образом в коде оказался бэкдор, неизвестно, хотя имеются
подозрения, что это сделал создатель инсталляционного пакета. В этой
связи в Symantec упоминают имя Лиу Хонг (Liu Hong), которое встречается
в коде инсталлятора, а также (в виде "liuhong") используется в качестве
параметра, который может передаваться входящим в инсталляционный пакет
программам.
Американская государственная организация US-CERT выпустила
предупреждение для владельцев Energizer DUO. В нём говорится, что у
большинства Windows-пользователей по умолчанию имеется дополнительная
защита в виде родного брандмауэра (включается после установки SP2 на
Windows XP, не говоря уже о более поздних версиях майкрософтовских ОС).
Файрвол просто так не даст бэкдору прослушивать порт, через который
он взаимодействует с контролирующим центром, а при первом запуске
приложения спросит инструкций у пользователя. Можно, однако, смело
предположить, что почти все юзеры дадут (или, точнее, уже дали) добро
на использование программой этого порта, тем более что софт
распространяется через вполне доверенный источник — сайт производителя.
Заметим, что вредоносы нередко проникают в инсталляторы "хороших"
программ. Буквально на днях одна из сотрудниц Panda Software, получив
от мобильного оператора Vodafone новенькую трубку HTC Magic, воткнула
его в USB-порт своего компьютера — и антивирус родной компании тут же забил тревогу.
Проблема заключалась не в самом телефоне, поскольку он работает под
управлением Android, а в установленной в нём карте памяти. Антивирус
моментально распознал заражённый Autorun и не позволил компьютеру стать
частью ботнета семейства Mariposa (не того же самого, который недавно был прикрыт
при активном участии Panda Software, а другого, действующего). Более
того, на карте памяти присутствовали и другие "подарочки", включая
Conficker и "шпиона", ворующего пароли к Lineage.