Лаборатория компании Panda Software сообщает о появлении нового, исключительно гибкого и сложного троянца Sikou.A, использующего документы Word для распространения. Этот троянец эксплуатирует уязвимость, которая позволяет ему выполнять произвольный код во многих приложениях Microsoft Office.Этот троянец был обнаружен в документе Word, разработанном для эксплуатации уязвимости MS03-037, о которой сообщала Microsoft, позволяющей троянцу запускаться, когда пользователь открывает документ Word. Для своей установки Sikou.A копирует себя в системную директорию и устанавливает два файла, один из которых содержит функции троянца. Второй файл является драйвером, который позволяет троянцу скрывать свою активность от пользователя, что делает обнаружение этого вредоносного кода исключительно сложным.
Работая скрыто, троянец пытается произвести доступ к текстовому файлу на URL в Интернете, который содержит другой URL и порт, к которому будет произведен доступ на следующем шаге. Этот файл может периодически обновляться создателем вредоносного кода, чтобы местоположение, к которому производит доступ троянец, могло меняться, что затрудняет его нейтрализацию.
Троянец производит доступ к URL, с которого скачивается файл, расширяющий его функции. Из-за того, что он периодически обращается к упомянутому URL, Sikou.A обладает высокой способностью изменять свое поведение, так как создателю вредоносного кода требуется лишь изменить текстовый файл, чтобы изменить функции распространенных троянцев.
Если файл успешно скачивается, он автоматически подключается к третьему URL, откуда он получает команды, например на выключение компьютера, сбор информации (финансовых или личных данных) или скачивание и запуск файлов. Последнее действие позволяет проникать в компьютер другим типам вредоносных программ, особенно шпионскому ПО, что в дальнейшем позволяет производить кражу информации.
“Так как это троянец, который распространяется вручную, его средства распространения и факт, что он использует довольно старую уязвимость, заставляет нас думать, что этот код мог быть разработан для кражи информации с определенного компьютера или организации”, – объясняет Луис Корронс, директор антивирусной лаборатории PandaLabs. “Более того, использование стелс-технологий, способность самообновления и исключительная универсальность, позволяющая ему получать команды, наводят на мысли о том, что создатель троянца намеревался держать его на компьютере в течение долгого времени, выполняя различные действия”.
Недавно были зафиксированы несколько атак на компании с использованием троянцев и прочего вредоносного ПО, направленные на кражу информации, например атаки на израильские компании (в настоящий момент ведется расследование). Более того, вредоносные коды с настраиваемыми функциями появляются все более часто (например недавний троянец Rona), что подкрепляет уверенность в том, что мотивом компьютерных хакеров в настоящий момент является финансовая прибыль.
