Een berucht Trojaans paard dat FTP wachtwoorden steelt en besmette machines onderdeel van een botnet maakt, schakelt zichzelf uit als het een bepaalde computernaam of gebruikersnaam ziet. Ook gebruikers van de Comodo Firewall hoeven zich over de Bredolabs Trojan geen zorgen te maken. Vanwege zijn toenemende activiteit werd de malware onlangs aan de Microsoft Malicious Software Removal Tool toegevoegd.
Sergey Golovanov en Igor Soumenkov van Kaspersky Lab analyseerden het Trojaanse paard dat rootkit technologieën gebruikt en andere malware installeert. Ze ontdekten dat de malware het draaien in een sandbox probeert te voorkomen door te kijken naar gebruikersnaam, computernaam en registersleutels. Zodra het als gebruikersnaam USER, user, CurrentUser of Sandbox tegenkomt, schakelt Bredolabs zichzelf uit. Dat doet het ook als de computer "SANDBOX" is genaamd. Daarnaast is de malware ook 'allergisch' voor de Comodo firewall.
PDF exploit
Is de installatie van de bot wel succesvol, dan neemt die contact op met een Command & Control server en downloadt een ander Trojaans paard. Deze malware steelt FTP wachtwoorden, waarmee de bende vervolgens exploits op legitieme websites plaatst. Het gaat met name om PDF exploits, die nieuwe bezoekers infecteren en zo de cyclus voortzetten. Naast wachtwoordstelers maakt Bredolabs besmette machines ook onderdeel van de Rustock en Pushdo botnets.
Deze posting is gelocked. Reageren is niet meer mogelijk.