Symantec: Троян в командах, выполняющихся при обработке событий мышки

SymantecСпециалистами компании Symantec был обнаружен троян, который встраивает свой вредоносный код в команды, выполняющиеся при обработке событий мышки. Вредонос способен обойти автоматизированную систему обнаружения угроз, так как при ее работе мышку никто не использует.

Этот троян начинает свою работу после определенного периода времени, в рамках которого не используется мышь. В частности, вредоносная программа распаковывает свой вредоносный код через 5 минут, затем ждет еще 20 минут и добавляется в реестр. Сетевая деятельность трояна начинается еще на 20 минут позже. Такая тактика позволяет вирусу оставаться незамеченным.

Еще один вариант вредоносной программы использует функцию Windows API – SetWindowsHookExA – для того, чтобы встроить себя в функцию, отвечающую за процессы мыши. При нормальной работе ОС Windows пользователь рано или поздно осуществит какое-либо действие мышкой и тем самым активирует трояна.


Обновлено (31.10.2012 02:11)