Trojan Downloader: Problema para Scanners de Vírus

O Microsoft Malware Protection Center encontrou um "trojandownloader", que não apresenta qualquer rotina suspeita em seu estado inicial e, portanto, torna-se difícil para os scanners de vírus detectarem. Uma vez que tenha sido iniciado, o programa VisualBasic carrega uma página Web para um restaurante tibetano. O HTML para este site, esconde um código shell que o programa baixa dentro da RAM e o executa. Embora o arquivo executável, que a Microsoft tem marcado TrojanDownloader: Win32/Poison.A, só produz uma mensagem de erro em um computador não conectado à Internet; uma vez que o código malicioso tenha sido executado com sucesso, ele faz cópia para uma pasta do sistema e a partir daí, inicia para keylog.

Um sistema de antivírus moderno, focado em monitorar esse comportamento, deve estar em alerta quanto a isso. A funcionalidade de espionagem que é baixado uma vez que uma conexão à internet estiver presente, vem do trojan free "Poison Ivy", que pode disponibilizar a carga diretamente como código shell.

Normalmente, um downloader puxa um arquivo executável a partir da Internet, salva no disco, e realiza a execução - atividade que deve contar com um scanner de comportamento vírus. Este exemplo mostra mais uma vez, o quão importante é instalar um antivírus com um monitor de comportamento.


Saiba Mais:

[1] Malware Protection Center http://www.microsoft.com/security/po...n32%2FPoison.A