Rodzina Sirefef / Zaccess
Pojawiła się w czerwcu 2012r. i dziś jest w pierwszej piątce uciążliwych i niebezpiecznych trojanów. Z zamierzenia rodzina Sirefef / Zaccess (pop. ZEROACCESS) jest zaprojektowana do pobierania innych szkodliwych wirusów, uzyskiwania dostępu do komputera poprzez wyłączenie zabezpieczeń i modyfikację plików systemowych.
Rozprzestrzeniając się poprzez cracki lub keygeny do programów i gier używa nowej techniki ukrywania się przed oprogramowaniem antywirusowym.
Cytując za blog.trendmicro.com :
„Raz zainstalowany, główny dropper ZACCESS (wykrywany jako BKDR_ZACCESS.KP) sprawdza aktualne uprawnienia użytkownika. Jeśli użytkownik jest administratorem, malware kontynuuje procedurę instalacyjną. Gdy użytkownik nie jest administratorem, malware podnosi swoje uprawnienia, aby kontynuować instalację szkodliwego oprogramowania. Malware wykonuje BKDR_ZACCESS.SMQQ, co powoduje pojawienie się okna Kontroli konta użytkownika (UAC).
Gdy użytkownicy ewentualnie nie pozwalają na wykonanie pliku, myśląc, że plik jest podejrzany, ZACCESS wymusza uruchomienie UAC z zapytaniem o pozwolenie uruchomienia instalatora Adobe Flash (InstallerFlashPlayer.exe).
Aby to zrobić, ZACCESS zrzuca InstallerFlashPlayer.exe i złośliwy plik msimg32.dll (BKDR_ZACCESS.SMQQ) do folderu tymczasowego użytkownika. Technika ta znana jest jako osadzanie binarne. Domyślnie, gdy InstallerFlashPlayer.exe jest wykonywany, Windows szuka msimg32.dll w bieżącym folderze przed wyszukiwaniem folderu systemowego Windows. Ponieważ BKDR_ZACCESS.KP zrzucił złośliwy plik msimg32.dll do bieżącego katalogu, Windows ładuje złośliwy kod zamiast oryginalnego.”
Usunięcie wirusa Zeroacces jest trudne i raczej niemożliwe dla przeciętnego użytkownika komputera i wymaga solidnej pracy specjalisty, gdyż po pozbyciu się intruza należy odbudować centrum zabezpieczeń, zaporę systemową, aktualizacje automatyczne i Windows Defender.
Nazwa: Rootkit.Win32.ZAccess – Sirefef
Typ: Rootkit – Trojan, Botnet
Alias: ZERO ACCESS, Rootkit.0Access, Rootkit.Zeroaccess, Rootkit.Win32.ZAccess, ZeroAccess.dr.gen.d, Rootkit.Win32.ZAccess IK, Mal / ZAccess-C, Win32: Rootkit-gen, Win32/ZAccess . g, Backdoor.Win32.ZAccess, TrojanDropper: Win32/Sirefef.B, Win32/Sirefef.ER, Win32/Sirefef.DD, TR/Sirefef.BV.2, Trojan-Dropper.Win32.PMax.a, Max + +, TrojanDropper : Win32/Sirefef.A, Win32/Sirefef.A, Win32: Sirefef.r, Win32: Sirefef.ah, Win32/Sirefef.FB.Gen