Лаборатория компании Panda Software сообщает о появлении нового, исключительно гибкого и сложного троянца Sikou.A, использующего документы Word для распространения. Этот троянец эксплуатирует уязвимость, которая позволяет ему выполнять произвольный код во многих приложениях Microsoft Office.
Для своей установки Sikou.A копирует себя в системную директорию и устанавливает два файла, один из которых содержит функции троянца. Второй файл является драйвером, который позволяет троянцу скрывать свою активность от пользователя, что делает обнаружение этого вредоносного кода исключительно сложным.
Работая скрыто, троянец пытается произвести доступ к текстовому файлу на URL в Интернете, который содержит другой URL и порт, к которому будет произведен доступ на следующем шаге. Этот файл может периодически обновляться создателем вредоносного кода, чтобы местоположение, к которому производит доступ троянец, могло меняться, что затрудняет его нейтрализацию.
Троянец производит доступ к URL, с которого скачивается файл, расширяющий его функции. Из-за того, что он периодически обращается к упомянутому URL, Sikou.A обладает высокой способностью изменять свое поведение, так как создателю вредоносного кода требуется лишь изменить текстовый файл, чтобы изменить функции распространенных троянцев.
Если файл успешно скачивается, он автоматически подключается к третьему URL, откуда он получает команды, например на выключение компьютера, сбор информации (финансовых или личных данных) или скачивание и запуск файлов. Последнее действие позволяет проникать в компьютер другим типам вредоносных программ, особенно шпионскому ПО, что в дальнейшем позволяет производить кражу информации.