«PandaLabs» ziņo par nesen atklātu unikālu, ļoti mainīgu un sarežģītu «Trojas zirgu» — «Sikou.
Ziņo par jaunu «Trojas zirgu», kas izplatās ar «Word» dokumentiem
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
A», kas izplatās ar «Microsoft Word» dokumentiem. Šis «Trojas zirgs» izmanto ievainojamību, kas ļauj izpildīt patvaļīgu kodu vairākās «Microsoft Office» programmās.
Šis «Trojas zirgs» ir atrasts «Word» dokumentā, un tas radīts, lai izmantotu «Microsoft» ievainojamību MS03-037, kas ļauj aktivizēt «Trojas zirgu», tiklīdz lietotājs atver «Word» dokumentu. Kad tas notiek, «Sikou.A» instalē pats sevi sistēmā, tas iekopē sevi sistēmas direktorijā un instalē divas datnes, no kurām viena nosaka «Trojas zirga» funkcijas, bet otra ir draiveris, ar kura starpniecību «Trojas zirgs» noslēpj savas darbības no lietotāja, tāpēc atklāt šo ļauno programmu ir īpaši grūti.
Kad «Trojas zirgs» ir aktivizēts, tas cenšas piekļūt teksta datnei, kas atrodas noteiktā URL internetā. Šī datne savukārt norāda uz citu URL un portu, kuram «Trojas zirgs» cenšas pieslēgties nākamajā etapā. Ļaunās programmas radītājs šo datni var periodiski jaunināt, tāpēc «Trojas zirga» pieslēgšanās vietas internetā mainās, padarot to par grūti neitralizējamu draudu.
Kad «Trojas zirgs» pieslēdzas norādītajam URL, tas lejupielādē datni, kas paplašina «Trojas zirga» funkcijas. Tā kā «Trojas zirgs» šim URL pieslēdzas ik pēc kāda laika, «Sikou.A» piemīt ļoti lielas iespējas mainīt sev raksturīgās pazīmes: ļaunās programmas radītājam ir vienīgi jāmaina datne, lai mainītos «Trojas zirga» īpašības.
Ja šo datni veiksmīgi lejupielādē, tā automātiski pieslēdzas trešajam URL, no kura tā saņem komandas izslēgt datoru, savākt informāciju (finanšu vai citus personiskos datus) vai, piemēram, lejupielādēt un atvērt patvaļīgas datnes. Ja notiek pēdējais, citas ļaunās programmas, īpaši spiegošanas programmas, var iekļūt datorā un nozagt personisku informāciju.
«Tā kā šis ir «Trojas zirgs», tas jāizplata manuāli, tā izplatīšanās veidi un pats fakts, ka tiek izmantota ne īpaši jauna ievainojamība, liek mums domāt, ka šis varētu būt ļaunais kods, kas radīts, lai nozagtu informāciju no kāda noteikta datora vai organizācijas,» uzsvēra Luiss Korons, «PandaLabs» direktors. «Turklāt sevis maskēšana, spēja sevi jaunināt un ļaunajam kodam piemītošā daudzpusība, kas ļauj attālināti saņemt komandas, liek mums domāt, ka ļaunās programmas radītāja mērķis ir atstāt šo «Trojas zirgu» uz iespējami ilgāku laiku datoros, lai varētu veikt mainīgas darbības.»
Nesen jau ziņojām par uzbrukumiem kompānijām, piemēram, vairākām Izraēlas kompānijām (pašlaik ir ierosinātas tiesas prāvas) ar mērķi nozagt informāciju, izmantojot «Trojas zirgus» vai kādu citu ļauno programmatūru. Arvien biežāk parādās ļaunās programmas ar pielāgojamām darbībām (piemēram, nesen atklātais Rona «Trojas zirgs»), kas apstiprina domu, ka finansiāls ieguvums ir vadmotīvs datoru hakeriem.