Lenovo znowu ma problemy z trojanem

Jak wynika z pierwszych analiz, trojan jest ładowany z zewnętrznego serwera, za co odpowiada odnośnik do JavaScriptu na stronie Lenovo. Obecnie nie wiadomo jednak, czy prowadzący do firmy marketingowej odnośnik został później wstawiony przez intruzów, aby za jego pomocą ładować szkodliwy kod. Możliwe jest także, że odnośnik już znajdował się na stronie a kod pobierający trojana znalazł się na stronie Lenovo za sprawą zdyskredytowanego serwera reklamowego.

Kod ładowania trojana jest wielostopniowy i usiłuje ukryć właściwe miejsce pochodzenia szkodnika. Skrypt na stronie Lenovo ładuje najpierw kod JavaScript ze strony avidmarketing.ie, który z kolei ładuje kod ze strony chemphilic.com, a ten następnie pobiera jeszcze inny kod ze strony dbal.co.uk. Wcześniej w sierpniu szkodniki rozprowadzała strona pobierania sterowników do komputerów Lenovo.

Strona jest już oznaczona w Google'owskim API Safe Brosing jako niebezpieczna, wskutek czego przeglądarki takie jak Firefox i Chrome blokują wywołanie strony. Według relacji skanery antywirusowe ESET, Kaspersky i Avast rozpoznają już próby ataku i chronią komputery.