Met de patches van patchdinsdag heeft Microsoft ook een update voor de in Windows ingebouwde virusverwijdertool uitgebracht, die nu in staat is om een gevaarlijke banking Trojan te detecteren. Het gaat om de Simda Trojan, die al sinds 2009 bestaat.

Via de malware kan een aanvaller op afstand verbinding met een machine maken en verschillende acties uitvoeren, zoals het stelen van inloggegevens en het maken van screenshots. Simda gebruikt een drietal Windows-lekken uit 2010 om de rechten op het systeem te verhogen en zo bepaalde Windowsprocessen te kunnen injecteren.

Als de lekken in kwestie zijn gepatcht, wordt er via een woordenboekaanval geprobeerd om de verhoogde rechten te krijgen. Verder schakelt Simda verschillende beveiligingsprogramma's uit, zoals hijackthis, Malwarebytes Anti-Malware en de Kaspersky Virus Removal Tool. Ook worden verschillende websites van anti-virusfabrikanten geblokkeerd.

Verspreiding

De malware verspreidt zich zowel via drive-by downloads als social engineering, waarbij het zich in het laatste geval voordoet als een Flash Player update. Recentelijk hebben de ontwikkelaars van Simda verschillende aanpasisngen doorgevoerd, zodat het ook gebruikers van internetbankieren kan aanvallen. Het kaapt hiervoor verschillende Windows systeem APIs, zodat het gegevens voor internetbankieren kan onderscheppen.

De malware heeft het volgens Microsoft voornamelijk op banken in Europa en Rusland voorzien, hoewel de meeste infecties na Rusland zich in de Verenigde Staten en Brazilië bevinden. In totaal zou Simda 19 verschillende systemen voor online bankieren kunnen aanvallen. Vanwege het grote aantal infecties is de Malicous Software Removal Tool (MSRT) nu in staat om Simda te detecteren en verwijderen.