Сейчас на сайте
Сейчас на сайте 0 пользователей и 0 гостей.

Реинкарнация старых технологий

В 2004 году появился Backdoor.Win32.PoeBot, который работал по следующему алгоритму. Преступник настраивает известный Backdoor (например из серии Backdoor.Win32.SdBot), берёт популярную программу (к примеру WinRar), внедряет в неё троянца по технологии EPO и распространяет, используя стандартные методы распространения троянских программ. В результате мы имеем либо сниженную скорость реакции антивирусной компании, так как надо разработать процедуру нахождения вредоносной программы и исключить возможные ложные срабатывания на программу-носитель (в данном примере WinRar), либо многочисленные ложные срабатывания на честное программное обеспечение (что, к сожалению, в тот момент и произошло с целым рядом антивирусных компаний).

В 2005 году появилось семейство вирусов-троянцев Virus.Win32.Bube, которые заражали системный файл explorer.exe и пытались скачивать другие троянские программы несколько раз в час. Таким образом, explorer.exe превращался в настоящий Trojan-Downloader.

После Bube появился Virus.Win32.Nsag, который представляет собой ещё более замаскированный Downloader. Вирус заражает системную библиотеку wininet.dll, при этом вредоносный код встраивается в функцию HttpSendRequestA. Таким образом троянец-код получает управление при любой сетевой активности зараженной системы, а до этого времени он тихо «дремлет» в компьютере.

Начало 2006 года принесло сразу несколько похожих троянских программ, что свидетельствует о повышении интереса вирусописателей к подобным способам размещения вирусного кода.

Для начала стоит обратить внимание на Trojan-Spy.Win32.Banker.alr, который, помимо кражи информации ), модифицирует системные библиотеки sfc.dll и sfc_os.dll таким образом, чтобы отключить автовосстановление системных файлов.

Так как подобного рода троянцы появляются достаточно часто, было принято решение о выделении всех новых в общее семейство - Trojan.Win32.Patched.