Trojan Sinowal pojawił się po raz pierwszy pod koniec 2005 roku. Cyberprzestępcy, aby zainfekować system komputerowy podszywali się pod komunikaty Microsoft Update. Chcieli namówić użytkownika, aby uruchomił pliki, które zawierały kolejne szkodliwe oprogramowanie. Do zarażenia dochodziło także czasem poprzez nakierowanie użytkownika na specjalną stronę, która wykorzystywała luki w przeglądarce internetowej.Kiedy trojan znalazł się na naszym komputerze, to instalował kilka charakterystycznych plików:
- C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.exe
- C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.dll
- C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00002.dll
- C:WINDOWSTemp$_2341233.TMP
- C:WINDOWSTemp$_2341234.TMP
- C:WINDOWSTemp$_2341235.TMP
Pierwszy z plików to program, który ładował biblioteki Trojana. Kolejny to główny plik Trojana. Plik ibm00002.dll to biblioteka, której zadaniem było przeprowadzanie ataków phishingowych (podstawianie linków do wspomnianych stron internetowych). Pierwszy z plików tymczasowych zawiera dane pozyskane przez Trojana podczas działań podjętych przez użytkownika, które przesyłane sa na serwer hackera. Kolejny to zaszyfrowany plik konfiguracyjny, a ostatni posiada dane o czasie ostatnich aktualizacji i przesłaniu danych na serwer hackera.
(na zdjęciu Trojan Sinowal “w akcji”)
Trojan ten był ciągle zmieniany i przebudowywany. Powracał jeszcze w 2006 i 2007 roku. W 2008 roku firma RSA Fraud Action Research przejęła serwery zarządzające Trojanem. Okazało się, że w bazie są dane ponad 500 tyś. zarażonych komputerów. Wydawałoby się, że to koniec Trojana Sinowal. Jednak powrócił on pod koniec 2008 roku.
Więcej o Trojanie Sinowal możecie przeczytać w majowym numerze miesięcznika hakin9.
Popularity: 8%
Arkadiusz Tobiasz student Akademii Ekonomicznej im. Karola Adamieckiego w Katowicach na specjalnościach informatyka ekonomiczna oraz rachunkowość. 
