Исследователи из «Лаборатории Касперского» сообщили об обнаружении крайне редкого, а возможно, уникального вида вредоносной программы: она целиком исполняется в оперативной памяти и не сохраняет, по крайней мере поначалу, никаких файлов на жесткий диск жертвы. Эксплойт написан на Javascript. Он запускается из HTML-фрейма, размещенного на зараженном сайте, и инжектирует шифрованную dll-библиотеку прямо в работающий процесс Javaw.exe, пользуясь известной уязвимостью Java (CVE-2011-3544).

Вирус отключает сервис контроля пользовательских учетных записей (UAC) в Windows и ждет команд от управляющего сервера. Одной из таких команд может быть установка трояна Lurk, крадущего данные с инфицированного ПК. Очистить память компьютера от вируса можно простым перезапуском системы, но с другой стороны, его распознавание антивирусами чрезвычайно затруднено.

Новшество данного вируса в том, что сам по себе он не делает ничего кроме незаметного для систем безопасности проникновения и создания черного входа для дальнейших атак на систему, полагают в «Лаборатории». По оценкам компании, число компьютеров, зараженных трояном Lurk, может достигать 300 тыс.

1053