Антивирус в вирусе

Несколько компаний по обеспечению безопасности узнали о вирусе, рассылающем спам, который использует антивирусный компонент для очистки зараженных компьютеров от конкурирующих вредоносных программ.

Троянец под названием SpamThru, который только что появился, сохранил несколько любопытных фактов для профессионалов в области защиты от вирусов. На первый взгляд казалось, что новый троянец мало чем отличался от спама, разработанного сегодня для распространения спама. Это связано с тем, что новое вредоносное ПО вносит изменения на выбранные компьютеры, что позволяет ему отправлять большие объемы нежелательной электронной почты в фоновом режиме. Он также изменяет файл hosts на зараженных компьютерах, чтобы предотвратить доступ к веб-сайтам охранных компаний и обновить антивирусное программное обеспечение.

Однако перечисленные возможности еще не стали неожиданностью, поскольку трояны с такими возможностями появляются ежедневно. Настоящее любопытство возникло, когда эксперты заметили, что SpamThru также содержит антивирусный компонент. Джо Стюарт, исследователь SecureWorks, сказал, что для работы трояна использовалось одно из антивирусных ядер Антивируса Касперского. Это позволяет вредоносной программе сканировать зараженный компьютер на наличие вирусов любых других типов и, в случае их обнаружения, удалять их. То есть троянец уничтожает конкурирующие вредоносные программы с компьютеров, чтобы получить полный контроль над системами.

Еще одна интересная особенность SpamThru заключается в том, что он использует потенциал технологий P2P гораздо интенсивнее, чем раньше. Они используют его для обмена различной информацией о зараженных системах. Например, он публикует IP-адреса компьютеров, информацию о портах, версии программного обеспечения и операционной системы.

Новость о спецоперации SpamThru также подтвердили McAfee и Sophos. Однако охранные компании сообщили, что вариант их нового трояна, способный быстро распространяться, еще не появился.