Symantec: троян скрывается в командах, выполняющихся при обработке событий мышки
30.10.2012
Компания Symantec сообщает о новом трояне, который встраивает свой вредоносный код в команды, выполняющиеся при обработке событий мышки. Вирус способен обойти автоматизированную систему обнаружения угроз, так как при ее работе мышку никто не использует.
Согласно предоставленным экспертами данным, этот троян начинает свою работу после определенного периода времени, в рамках которого не используется мышь. В частности, вредоносная программа распаковывает свой вредоносный код через 5 минут, затем ждет еще 20 минут и добавляется в реестр. Сетевая деятельность трояна начинается еще на 20 минут позже. Такая тактика позволяет вирусу оставаться незамеченным.
Еще один вариант вредоносной программы использует функцию Windows API – SetWindowsHookExA – для того, чтобы встроить себя в функцию, отвечающую за процессы мыши. При нормальной работе ОС Windows пользователь рано или поздно осуществит какое-либо действие мишкой и тем самым активирует троян.
Напомним, что в 2011 году эксперты Symantec обнаружили 400 образцов вредоносных программ, способных обойти автоматизированные системы анализа вредоносного программного обеспечения.
