Internet Researchers van beveiligingsspecialist Norman hebben een nieuw Trojaans Paard geïdentificeerd welke een kinderpornovideo installeert en vertoont. De Trojan, welke de naam W32/Agent.ULL heeft meegekregen, bevat zelf geen verspreidingstechnologie maar wordt over het internet verspreid via verschillende kanalen, waaronder uitwisselingsnetwerken zoals KaZaa, en waarschijnlijk ook via e-mail.
Alhoewel de bestandsnaam waarin W32/Agent.ULL wordt verspreid al aangeeft dat de videoclip een zeer expliciete inhoud heeft, dient deze als lokaas om de gebruiker ertoe te bewegen om toch het bestand op te starten .
“Dit is zowel serieus als zorgwekkend,” zegt Volker Ladage, directeur van Norman/SHARK. “Het is goed dat Norman’s Sandbox-technologie wederom zijn waarde bewijst door deze Trojan al pro-actief te stoppen. Zeker bij dit soort applicaties die dit soort schokkende beelden moedwillig gebruiken, is het uitermate belangrijk om in een vroeg stadium de trojan te detecteren.”
De automatische analyse van deze Trojan kan worden gevonden op Norman’s pro-active test center NSIC (Norman Sandbox Information Center) via de link: sandbox.norman.no/live_2.html?logfile=695930
Righard Zwienenberg, Chief Research Officer van Norman, zegt: “De primaire functie van de Trojan is niet het tonen van de kinderporno, dit is ‘slechts’ het lokkertje om het op te starten. Terwijl de kijker wordt afgeleid worden verschillende andere applicaties gedownload en geïnstalleerd. Al deze applicaties bij elkaar vormen een verzameling van schadelijke adware en spyware, waaronder valse ‘anti-spyware’ pakketten die op het internet rondzwerven zoals SpySherrif en BraveSentry. Tevens worden enkele andere downloader Trojans geïnstalleerd, waaronder Tibs, een adware downloader voor pornografische websites.”
