'Pametni' trojanac samostalno se razvija i pri tome koristi različite tehnike skrivanja od antivirusnih programa poput brojanja klikova miša kako bi bio siguran da ga nitko nije otkrio
Sigurnosna tvrtka FireEye upozorila je kako su primijetili novu vrstu zlonamjernog programa (malwarea) koji izbjegava antivirusni program tako što se skriva iza pokreta strelice miša na ekranu.
Trojanac pod imenom Trojan.APT.BaneChant širi se kroz Wordov dokument naziva 'Islamic Jihad.doc'.
Zlonamjerni program napada računalo u nekoliko faza. Prvo inficirani dokument skida i pokreće komponente koje pokušavaju odrediti da li je operativni sustav virtualan (poput 'pješčanika' antivirusnog programa), ili se radi o programu za uklanjanje malwarea, i to tako što promatra što se događa s mišem.
'Strpljivi' trojanac tako čeka barem tri klika mišem, kako bi se uvjerio da korisnik ne zna za njegovo postojanje. Nakon toga dekriptira URL i na računalo instalira program koji otvara pristup računalu kroz 'stražnja vrata' i skriva ga kao JPG dokument.
Kako bi izbjegao da ga zaštitni programi prepoznaju prilikom skidanja programa, trojanac koristi uslugu skraćivanja URL adrese, ow.ly.
Nakon toga, JPG dokument se kopira s imenom GoogleUpdate.exe u Start up mapu čime si osigurava pokretanje prilikom svakog pokretanja računala. Na taj način ujedno pokušava prevariti korisnika izigravajući Googleov update.
Kad je otvorio 'stražnja vrata' program prikuplja i šalje sve informacije o računalu na glavni server, s kojeg može primati naredbe za dodatno skidanje zlonamjernih programa.
Ono što posebno zabrinjava je činjenica da se ovaj malware samostalno razvija i koristi različite načine kako bi izbjegao otkrivanje i uklanjanje s računala.
Kako je zapisao istraživač FireEyea Chong Rong Hwa, koji je izvijestio o samom trojancu, zbog imena 'Islamic Jihad' sumnja se da je dokument namijenjen inficiranju vladinih računala na Bliskom istoku i u središnjoj Aziji.
