Trojan następnej generacji…

Odkryto nowego trojana, który charakteryzuje się niezwykle wyszukanym sposobem działania – może instalować się na komputerach z najnowszymi aktualizacjami, włączonym firewallem oraz programem antywiusowym. Według nomenklatury CA nosi on nazwę Win32.Glieder.AG, jest plikiem wykonywalnym, który zapisuje swój kod na dysku w postaci pliku winshost.exe, zaś w rejestrze umieszcza wpisy pozwalające mu na pracę po każdym uruchomieniu systemu. I dopiero wtedy zaczyna ciężką pracę…

Win32.Glieder.AG lokalizuje i zatrzymuje wybrane usługi systemowe, głównie procesy programów antywirusowych i zapór ogniowych. Usuwa także wpisy z rejestru pozwalające na automatycznie uruchamianie tych programów przy starcie systemu oraz zmienia nazwy plików należących do programów zabezpieczających. Następnie komunikuje się z określonymi adresami URL i pobiera z nich kolejny składnik znany pod nazwą Fantibag Trojan, który uniemożliwia komunikację z witrynami o tematyce antywirusowej oraz stroną Microsoftu (chodzi oczywiście o aktualizacje). Ogólnie robi bałagan w systemie zabezpiecze? i jeśli nie zostanie wykryty od razu, później nie jest już zagrożony. A dalsze działanie to komunikacja z różnymi adresami URL w celu pobrania kolejnego trojana w postaci pliku osa.gif, który zostaje zapisany na dysku w postaci pliku ile.exe. Jest uruchamiany i otwiera tylną furtkę, dzięki której system może być zdalnie kontrolowany – staje się potencjalnym narzędziem do prowadzenia kolejnych ataków.
Trojana Win32.Glieder.AG można otrzymać w załączniku pocztowym w postaci pliku ZIP, w którym znajduje się plik 20_04_2005.exe. Jeszcze nie jest jasne czy program rozprzestrzenia się sam, czy wykorzystuje do tego jeszcze jakieś inne narzędzia.

?ródło: PCLab