Реинкарнация старых технологий

В 2004 году появился Backdoor.Win32.PoeBot, который работал по следующему алгоритму. Преступник настраивает известный Backdoor (например из серии Backdoor.Win32.SdBot), берёт популярную программу (к примеру WinRar), внедряет в неё троянца по технологии EPO и распространяет, используя стандартные методы распространения троянских программ. В результате мы имеем либо сниженную скорость реакции антивирусной компании, так как надо разработать процедуру нахождения вредоносной программы и исключить возможные ложные срабатывания на программу-носитель (в данном примере WinRar), либо многочисленные ложные срабатывания на честное программное обеспечение (что, к сожалению, в тот момент и произошло с целым рядом антивирусных компаний).
В 2005 году появилось семейство вирусов-троянцев Virus.Win32.Bube, которые заражали системный файл explorer.exe и пытались скачивать другие троянские программы несколько раз в час. Таким образом, explorer.exe превращался в настоящий Trojan-Downloader.
После Bube появился Virus.Win32.Nsag, который представляет собой ещё более замаскированный Downloader. Вирус заражает системную библиотеку wininet.dll, при этом вредоносный код встраивается в функцию HttpSendRequestA. Таким образом троянец-код получает управление при любой сетевой активности зараженной системы, а до этого времени он тихо «дремлет» в компьютере.
Начало 2006 года принесло сразу несколько похожих троянских программ, что свидетельствует о повышении интереса вирусописателей к подобным способам размещения вирусного кода.
Для начала стоит обратить внимание на Trojan-Spy.Win32.Banker.alr, который, помимо кражи информации ), модифицирует системные библиотеки sfc.dll и sfc_os.dll таким образом, чтобы отключить автовосстановление системных файлов.
Так как подобного рода троянцы появляются достаточно часто, было принято решение о выделении всех новых в общее семейство — Trojan.Win32.Patched.

Trojan.Win32.Patched.a
Trojan.Win32.Patched.b
Trojan.Win32.Patched.c
Мобильные новости

‹ Установка обновления пользователем
Вверх
Trojan.Win32.Patched.a ›

Айтистанция
Добавить комментарий

Adblock
detector