Megfontoltan szemeteli tele a világot egy új károkozó

A Sarvdap trójai alaposan feltérképezi a lehetőségeit mielőtt kéretlen elektronikus levelek nagy mennyiségű küldésébe kezd.
 

A spamelésre kiélezett kártékony programok többsége nem igazán törődik azzal, hogy milyen hatékonysággal tudja célba juttatni a kéretlen küldeményeket. Így amikor megfertőznek egy számítógépet, akkor rögtön nekilátnak a levélszemét szaporításához. A Palo Alto Networks kutatói által vizsgált Sarvdap trójai azonban ennél megfontoltabb, és a spamelést nem egy roppant nagy kiterjedésű botnettel támogatja, hanem előzetes vizsgálatokkal.
 
A Sarvdap minden Windows alapú számítógépre felkerülhet, viszont azokon már nem minden esetben végzi el a feladatát. Először meggyőződik arról, hogy az adott rendszeren nem fut debuger alkalmazás. Amennyiben ilyet észlel, akkor azonnal leáll azt feltételezve, hogy valaki figyeli a tevékenységét.
 
Ha tiszta a terep, akkor egy következő ellenőrzés veszi kezdetét. Ennek során a károkozó számos olyan szolgáltatást kérdez le a fertőzött PC IP címe alapján, amelyek spamelés ellen kialakított feketelistákat tartalmaznak. Ha a trójai olyan visszajelzést kap, miszerint a rendelkezésére álló IP-cím feketelistázott, akkor nem áll neki a spamelésnek. Ellenkező esetben egy vezérlőszerverről konfigurációs adatokat tölt le, amik alapján nekikezd a kéretlen levelek kézbesítésének.  
A kártékony program felismerése megfelelő védelmi eszközök nélkül nem egyszerű felaladat, ugyanis egy svchost.exe nevű folyamat mögé rejtőzik el, vagyis a Windows egyik rendszerfolyamatának nevével él vissza. A kártevő fájlja pedig a Windows könyvtárába kerül.
 
"Az adathalász célú küldemények továbbra is számottevő fenyegetést jelentenek a vállalatokra, a kormányzati intézményekre, illetve az egyéni felhasználókra nézve. A bérelhető, nagy kiterjedésű botnetek naponta spamek tízezreit indítják útnak a fertőzött számítógépek bevonásával. A Sarvdap érdekessége azonban nem egy nagyméretű botnetben keresendő, hanem abban, hogy a spamküldési hatékonyságot a feketelisták elemzésével, azaz a hírnévalapú védelem megkerülésével próbálja növelni" - nyilatkozták a biztonsági cég szakértői.