Antywirus w wirusie
Kilka firm zajmujących się bezpieczeństwem dowiedziało się o wirusie wysyłającym spam, który wykorzystuje komponent antywirusowy do czyszczenia zainfekowanych komputerów z konkurencyjnego złośliwego oprogramowania.
Pojawiający się właśnie trojan o nazwie SpamThru miał kilka ciekawostek dla specjalistów od ochrony przed wirusami. Na pierwszy rzut oka wydawało się, że nowy trojan nie różni się zbytnio od spamu opracowanego dzisiaj do rozprzestrzeniania spamu. Dzieje się tak, ponieważ nowe złośliwe oprogramowanie wprowadza zmiany na wybranych komputerach, które pozwalają mu wysyłać w tle duże ilości niechcianych wiadomości e-mail. Modyfikuje również plik hosts na zainfekowanych komputerach, aby uniemożliwić dostęp do stron internetowych firm ochroniarskich i zaktualizować oprogramowanie antywirusowe.
Jednak powyższe cechy nie są jeszcze zaskoczeniem, ponieważ trojany z takimi możliwościami pojawiają się codziennie. Prawdziwa ciekawość pojawiła się, gdy eksperci zauważyli, że SpamThru zawiera również komponent antywirusowy. Joe Stewart, badacz z SecureWorks, powiedział, że trojan wykorzystał jeden z silników antywirusowych Kaspersky Anti-Virus. Pozwala to złośliwemu programowi na przeskanowanie zainfekowanego komputera w poszukiwaniu innych typów wirusów i usunięcie go, jeśli zostanie wykryte. Oznacza to, że trojan usuwa konkurencyjne złośliwe oprogramowanie z komputerów, dzięki czemu może przejąć pełną kontrolę nad systemami.
Kolejną interesującą rzeczą w SpamThru jest to, że wykorzystuje potencjał technologii P2P znacznie intensywniej niż wcześniej. Używają go do udostępniania różnych informacji o zainfekowanych systemach. Na przykład publikuje adresy IP komputerów, informacje o porcie, wersje oprogramowania i systemu operacyjnego.
Wiadomość o specjalnej operacji SpamThru została potwierdzona również przez McAfee i Sophos. Jednak firmy zajmujące się bezpieczeństwem poinformowały, że wariant ich nowego trojana, który był w stanie szybko się rozprzestrzeniać, jeszcze się nie pojawił.
