Аналитики Symantec обнаружили новую разновидность вируса Xpiro. Вредоносная программа способна заражать 64-битные исполняемые файлы, причем 32-битный вариант Xpiro может заражать 64-битные файлы и наоборот.
Сначала вирус пытается заразить файлы сервисов win32. Затем просматривает все ярлыки на рабочем столе и в меню «Пуск», пытаясь заразить файлы, к которым они ведут. Предпочтение отдается именно им, потому что есть высокая вероятность их запуска пользователем или системой при включении компьютера, что обеспечивает работу вируса даже после ряда перезагрузок. И, наконец, вирус заражает все исполняемые файлы на всех локальных, переносных и сетевых дисках, рассказали в Symantec.
Эксперты считают, что конечная цель вирусов семейства Xpiro — кража информации. Он отслеживает всю HTTP-активность браузера и отправляет эту информацию на удаленный сервер. После этого он скачивает с заранее определенных серверов следующие списки: URL-адреса цели; URL-адреса перенаправления. Когда пользователь вводит в адресную строку один из «целевых» адресов, дополнение перенаправляет его на один из адресов из второго списка. Это, в свою очередь, может быть как страница с рекламой, так и ссылка для скачивания другого вредоносного кода, пояснили в Symantec.