Новый троянец использует необычные механизмы сокрытия в ОС

Microsoft сообщила об обнаружении троянского программного обеспечения, способного удалять файлы, загружаемые ими из интернета и создаваемые в процессе работы, дабы избежать обнаружения специальными средствами. Троянец под названием Win32/Nemim.genA представляет собой последнее поколение вредоносных программ, использующих нетрадиционные методы сокрытия для защиты от обнаружения. Как правило, троянцы в процессе собственной работы не изменяют своей файловой базы и благодаря этому могут сравнительно просто детектироваться антивирусами.

“Во время нашего анализа даунлоадера мы не смогли просто найти никакого скачиваемого компонента и файлов для скачки в операционной системе”, – гласит Джонатан Сан Жозе, аналитик Microsoft Malware Protection Center. “Даже когда мы использовали средства восстановления файлов, мы получали некоторые подозрительные структуры, но так и не смогли вернуть их содержимое”.

В Microsoft молвят, что попробовали изучить составляющие, которые закачивает вредонос с удаленных серверов. Как показал анализ, код имеет модули для инфецирования исполняемых файлов на съемных носителях, также для кражи паролей для систем электрической почты, Windows Messenger/Live Messenger, Gmail Notifier, Гугл Desktop и Гугл Talk. Сан Жозе гласит, что в подавляющем большинстве случаев первичная загрузка подразумевает только скачка даунлоадера, тогда как он в предстоящем подгружает другие модули для работы и выполнения специфичных операций.