Вредоносная программа заражает сетевые маршрутизаторы производства компании MikroTik путем загрузки зараженного файла-библиотеки DLL. Затем по желанию злоумышленников маршрутизатор получает возможность загружать и сохранять другие вредоносные файлы и распространять их на компьютеры в локальной сети, передает «Российская газета».
Несмотря на то, что в MikroTik выпустили необходимое обновление, в «Лаборатории Касперского» отмечают, что перепрошивка маршрутизаторов полностью не защищает от вируса Slingshot, который также может атаковать роутеры других производителей.
Названый специалистами «шедевром», вирус Slingshot состоит из двух модулей, передает Regnum.
Первый называется Canhadr. Он запускает низкоуровневый код ядра, позволяя злоумышленникам управлять зараженным компьютером без ограничений.
Второй – GollumApp – содержит порядка 1,5 тыс. функций пользовательского кода и способен управлять файловой системой, не вызывая в отличие от других подобных троянских программ «синего экрана смерти».
«Благодаря этим модулям Slingshot может собирать скриншоты, данные на клавиатуре, сетевые данные, пароли, отслеживать другие действия пользователя, буфер обмена и так далее. И все происходит без использования уязвимости нулевого дня. По крайней мере, наши эксперты пока не обнаружили, что Slingshot ее использует», – сообщили в «Лаборатории Касперского».
Опасность вируса заключается в том, что при обнаружении опасности для себя (например, при антивирусном сканировании компьютера) он может отключать свои компоненты.