Trojaans paard pas actief na meerdere muisklikken van de gebruiker
Een nieuw Trojaans paard is in staat detectie in testomgevingen van antivirusbedrijven te voorkomen. De malware wordt pas actief zodra de gebruiker een specifiek aantal keer op zijn muis heeft geklikt. Dit is testomgevingen van beveiligingsbedrijven vaak niet mogelijk.
De virtuele testomgevingen van beveiligingsonderzoekers zijn doorgaans niet uitgerust met een muis. De onderzoekers kunnen dus niet met hun muis op het scherm klikken, waardoor de malware simpelweg niet wordt geactiveerd. De malware blijft hierdoor onopgemerkt, waardoor onderzoekers de malware niet kunnen onderzoeken.
Andere technieken om verborgen te blijven
Het Trojaans paard maakt ook gebruik van andere technieken om zijn aanwezigheid op systemen te verbergen. Zo controleert de malware ook of het aangevallen systeem in verbinding staat met internet. Is dit niet het geval? Dan wordt de malware niet geactiveerd. Daarnaast legt het Trojaans paard via een URL-verkorter verbinding met een Command & Control-server, die hierdoor minder opvalt.
Beveiligingsonderzoeker FireEye stelt dat de malware waarschijnlijk vooral gericht is op overheidsinstanties in het Midden-Oosten en Centraal-Azië. Het Trojaans paard zit verstopt in een document met de naam 'Islamic Jihad.doc'.
