Сага о уполномоченном китайским банком интеллектуальном налоговом программном обеспечении Aisino, установившем бэкдор удаленного доступа и контроля, приняла неожиданный оборот, поскольку исследователи безопасности обнаружили, что оно получило обновление, удаляющее вредоносный код.
Trustwave Spiderlabs сообщила, что программное обеспечение, которое иностранные компании должны использовать для уплаты местных налогов, загрузило новый файл.
Это оказался деинсталлятор для бэкдора, который Spiderlabs назвал GoldenSpy.
Исполняемый файл деинсталлятора извлекается с хоста в сети, выделенной China Mobile, сказал Spiderlabs, а вторая версия содержит запутанные переменные, чтобы избежать появления антивируса вскоре после первой.
Как только программа Aisino Intelligent Tax запускает загруженный исполняемый файл, деинсталлятор удаляет все файлы и папки GoldenSpy, а также записи, которые он вставил в базу данных конфигурации системы реестра Windows.
После удаления бэкдора GoldenSpy деинсталлятор выполняет команду оболочки Windows, чтобы удалить себя тихо и без уведомлений или ввода пользователя.
В то время как прямая угроза вредоносного ПО удаленного доступа GoldenSpy command and control, по-видимому, исчезла после завершения деинсталляции, Spiderlabs заявила, что она должна оставить пользователей обеспокоенными тем, что еще можно загрузить и выполнить аналогичным образом.
