Virusschrijvers installeren illegale versie Kaspersky anti-virus

  • Bron (c) 2006, VirusAlert

Er is een Trojaans paard ontdekt dat een virusscanner installeert om andere malware op het overgenomen systeem te verwijderen of verdere infecties te voorkomen. De “SpamThru Trojan” gebruikt de Kaspersky anti-virus engine om gekaapte systemen veilig te stellen.

Tijdens het starten van het systeem laadt het Trojaanse paard een DLL bestand van de controle server en download onmiddellijk een illegale versie van Kaspersky AntiVirus. De anti-virus software is met rootkit technieken in een verborgen map geplaatst. Daarna patcht het Trojaanse paard het licentie bewijs in de Kaspersky DLL, zodat er ook nieuwe licensies opgehaald kunnen worden. Tien minuten na het downloaden en installeren wordt het hele systeem gescand, waarna gevonden malware tijdens de volgende herstart verwijderd wordt.

In het verleden is het vaker voorgekomen dat malware andere malware probeert te verwijderen. Maar volgens de onderzoeker Joe Stewart (Kaspersky) is het de eerste keer dat dit op deze manier gebeurt. “Virusbestrijders weten welke anti-virus de beste detectie heeft. Dit is vast het motief waarom ze voor de software van Kaspersky hebben gekozen.”