Trojan korzystający z antywirusa

24 października 2006 0 przez Michał Tomaszkiewicz

Trojan SpamThru używa zmodyfikowanego antywirusa w celu chronienia komputera przed atakami innego złośliwego oprogramowania.

Po zainfekowaniu komputera, trojan pobiera piracką wersję Kaspersky AntiVirus for WinGate, która instalowana jest w ukrytym katalogu. Po oszukaniu licencji programu i 10-minutowej przerwie dochodzi do skanowania przejętego systemu i wyeliminowania wszelkich szkodliwych programów będących „konkurencją” dla SpamThru.

Dzięki ingerencji w program antywirusowy, pliki trojana SpamThru pozostają nietknięte. Komputery przejęte przez trojana służą do rozsyłania spamu; szkodnik potrafi także samodzielnie generować przesyłki.

Dokładna analiza działalności trojana znajduje się na witrynie SecureWorks. Wcześniej znane już były przypadki złośliwego oprogramowania deaktywującego lub kasującego inne szkodniki obecne w systemie, po raz pierwszy jednak do tego celu wykorzystywany jest program antywirusowy.