Mocmex

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Mocmex — троянская программа, найденная в цифровых фоторамках в феврале 2008 года. Это была первая серьезная вредоносная программа в цифровых фоторамках. Троян был отслежен до группы в Китае.

Описание[править | править код]

Mocmex собирает пароли для онлайн-игр. Mocmex загружает файлы из удаленных локаций и скрывает случайно названные файлы на зараженных компьютерах. Кроме того, он перезаписывается на другие переносные устройства хранения данных, которые были подключенны к зараженному компьютеру (проникает как троян, подгружает дополнения и далее распространяется как вирус). Способен распознавать и блокировать антивирусную защиту от более чем ста охранных компаний и встроенный брандмауэр Windows. Таким образом, вирус трудно удалить. Отраслевые эксперты описывают авторов троянской программы как профессионалов и называют Mocmex «ядерной бомбой вредоносных программ»[1].

Безопасная активация протрояненого jpg-изображения. Антивирус диагностировал и блокировал угрозу.

Mocmex — самоназвание. Длинные имена текстовых логов, генерируемых малварью на инфицированном компьютере, содержат по центру, сигнатуру mocmex (или анаграмму из этих букв).

Протрояненое jpg-изображение, при совершении определённых действий жертвы, способно активироваться, создать и запустить в папке \Temp\ исполняемый файл (exe-файл). Антивирусы, в большинстве случаев, способны ликвидировать угрозы, диагностируя возникающую проблему[2][3], как Exploit-MS04-028[прим. 1][4]. Но, к сожалению, активация может произойти и с полным подавлением антивирусной программы.

Защита[править | править код]

Хотя Mocmex может быть описан как серьезный вирус, защита не трудна[прим. 2]. Прежде всего, важно наличие обновленного антивирусного программного обеспечения, если, конечно, вирусописатели не опережают производителей антивирусов (что и произошло с Mocmex). Еще один способ — это проверить цифровую фоторамку на наличие вредоносных программ на компьютере с Mac OS или Linux перед подключением к компьютеру с Windows, а также отключить автозапуск на Windows[5][6].

Влияние[править | править код]

Большая часть цифровых фоторамок была изготовлена в Китае, преимущественно в Шэньчжэне. Отрицательная огласка последовавшая в средствах массовой информации, ожидаемо оказала негативное воздействие на китайских производителей. Mocmex был обнаружен всего через несколько месяцев после проблемы качества игрушек, произведенных в Китае, и вновь привлёк внимание западных стран, приведшее к снижению качественной репутации китайской продукции[7].

Примечания[править | править код]

  1. Протрояненое jpg-изображение само по себе не является данным эксплойтом.
  2. По мнению, приведённому в enwiki. По факту же, неактивированное протрояненое изображение не диагностируется антивирусом, а в случае успешного инфицирования малварь активно противостоит диагностике. Применённая 2014/07/14 утилита CureIt от Dr.Web бодро отрапортовала There are no infected objects detected и вывалилась в синий экран.

Сноски[править | править код]

  1. Chinese PC virus may have hidden agenda  (Дата обращения: 23 ноября 2015)
  2. MS04-028 JPEG Exploit on Windows Vista (32 bit) October 22, 2007 Архивная копия от 22 декабря 2015 на Wayback Machine  (Дата обращения: 11 декабря 2015)
  3. win32/Exploit.MS04-028 - как извести заразу? 05.05.2010 Архивная копия от 22 декабря 2015 на Wayback Machine  (Дата обращения: 11 декабря 2015)
  4. Microsoft Security Bulletin MS04-028 - Critical Архивная копия от 22 декабря 2015 на Wayback Machine  (Дата обращения: 11 декабря 2015)
  5. Disabling Autorun securely Архивная копия от 20 февраля 2009 на Wayback Machine  (Дата обращения: 23 ноября 2015)
  6. State of Security: China's Trojan Horse Архивировано 5 июля 2008 года.
  7. Digital Photo Frames - Virus on digital photo frame - Products from China a security threat? Архивная копия от 3 марта 2016 на Wayback Machine  (Дата обращения: 23 ноября 2015)

Ссылки[править | править код]

Источник — https://ru.wikipedia.org/w/index.php?title=Mocmex&oldid=131361900