Veszélyes lett a felnyársalt vírus

A Qakbot trójai ismét színre lépett, méghozzá két felvonásban. Mindez pedig nagyon megnehezíti az ellene folytatott védekezést.
 

A Qakbot körülbelül 10 évvel ezelőtt bukkant fel először, amikor elsősorban vállalatok elleni, célzott támadásokban kapott szerepet. Leginkább hátsó kapu kiépítésére és adatlopásra specializálódott. E képességei pedig az évek során folyamatosan egyre kifinomultabbá váltak. A készítői még most is előszeretettel fejlesztgetik a szerzeményüket, aminek eredményeként mind nehezebbé válik a hatékony detektálása.
 
A trójai legújabb variánsa leginkább a terjedését és a rejtőzködést illetően fejlődött. A kártékony program ugyanis elkezdett két részben terjedni, és több lépcsőben fertőzni. Mindez a gyakorlatban azt jelenti, hogy a károkozó fájljait egy JavaScript alapú letöltő összetevő szerzi be méghozzá két tömörített, illetve titkosított fájl formájában. Amikor ez a két fájl (jelenleg [véletlenszerű karakterek]_1.zzz és [véletlenszerű karakterek]_2.zzz néven) felkerül a számítógépre, akkor a JavaScript alapú komponens elvégzi a dekódolást egy ütemezett feladaton keresztül. (Az első fájl a kártékony kód első ezer bájtját tartalmazza, a többit a második állomány.)
 
Egy másik ütemezett feladat pedig arról gondoskodik, hogy a beszerzett, dekódolt állomány összefűzése is megtörténjen: ehhez alapvetően egy egyszerű type parancsot használnak a vírusírók.