апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

09.04.2024

OS Day 2024: «Архитектурные аспекты безопасности операционных систем»

Читать далее 

показать все 

11.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

22.09.2023

Проще, чем кажется. Эталонная модель документооборота или краткое руководство по цифровой трансформации

Читать далее 

показать все 

Главная / Новости партнеров / Trojan.LoadMoney – популярный установщик нежелательных программ

Вирусным аналитикам компании «Доктор Веб» хорошо известны вредоносные программы семейства Trojan.LoadMoney — они неизменно находятся в «Топ-10» угроз, обнаруживаемых Антивирусом Dr.Web.

К этой категории относятся различные инсталляторы, устанавливающие на компьютер жертвы вместе с требуемым ей приложением всевозможные дополнительные компоненты. Однако некоторые модификации Trojan.LoadMoney обладают и более широкими функциональными возможностями — например, они могут собирать и передавать злоумышленникам различную информацию об атакованном компьютере. Об одном из таких троянцев, добавленных в вирусные базы Dr.Web под именем Trojan.LoadMoney.336, мы расскажем в настоящей статье.

Эта вредоносная программа-установщик, созданная вирусописателями для монетизации файлового трафика, использует в процессе своей работы следующий принцип. Потенциальная жертва злоумышленников отыскивает на принадлежащем им файлообменном сайте нужный файл и пытается его скачать. В этот момент происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется загрузка троянцаTrojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, а также на рекламное и откровенно вредоносное ПО: так, вирусным аналитикам известно о том, что Trojan.LoadMoney.336 загружает троянца Trojan.LoadMoney.894, который, в свою очередь, скачивает Trojan.LoadMoney.919 и Trojan.LoadMoney.915, а последний загружает и устанавливает на зараженной машине Trojan.Zadved.158.

После запуска троянец выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить свое опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.

Троянец собирает на зараженном компьютере и передает злоумышленникам следующую информацию:

• версия операционной системы;
• сведения об установленных антивирусах;
• сведения об установленных брандмауэрах;
• сведения об установленном антишпионском ПО;
• сведения о модели видеоадаптера;
• сведения об объеме оперативной памяти;
• данные о жестких дисках и имеющихся на них разделах;
• данные об ОЕМ-производителе ПК;
• сведения о типе материнской платы;
• сведения о разрешении экрана;
• сведения о версии BIOS;
• сведения о наличии прав администратора у пользователя текущей учетной записи Windows;
• сведения о приложениях для открытия файлов *.torrent;
• сведения о приложениях для открытия magnet-ссылок.

Затем Trojan.LoadMoney.336 обращается к своему управляющему серверу с GET-запросом и получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов. Их скачивание выполняется в отдельном потоке: троянец отправляет на содержащий требуемые файлы сервер соответствующий HEAD-запрос, и, в случае если тот возвращает ошибку 405 (Method Not Allowed) или 501 (Not Implemented), на сервер отправляется повторный GET-запрос. Если указанная в конфигурационных данных ссылка на целевой файл оказывается корректной, троянец извлекает информацию о длине файла и его имени из ответа сервера, после чего начинает загрузку приложения.

Помимо ссылок на загружаемые и устанавливаемые компоненты зашифрованный конфигурационный файл содержит также сведения о диалоговом окне, которое демонстрируется пользователю перед их установкой.

На иллюстрации хорошо видно, что флажки, с помощью которых можно отключить устанавливаемые на компьютер пользователя компоненты, по умолчанию неактивны, однако третий из них при наведении на него курсора мыши неожиданно активизируется и позволяет сбросить первые два.

Помимо Trojan.LoadMoney аналогичные схемы, позволяющие злоумышленникам зарабатывать на незаметной установке пользователям различных нежелательных программ, реализуют и другие партнерские программы. Специалисты компании «Доктор Веб» напоминают о необходимости использовать на компьютере современное антивирусное ПО, а также о том, что пользователям следует проявлять осмотрительность и не загружать какие-либо приложения с подозрительных сайтов.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи