«Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы
16 дек 2016 18:40 #50062
от ICT
«Доктор Веб» представил отчет об исследовании троянца-установщика Trojan.Ticno.1537, предназначенного для несанкционированной установки других приложений. Как рассказали CNews в компании, в интернете действует множество так называемых «партнерских программ», выплачивающих вознаграждение за установку ПО, чем и пользуются вирусописатели. Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows. Trojan.Ticno.1537 также проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает Проводник и завершает свою работу. Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip. В открывающемся нестандартном диалоговом окне сохранения файла Microsoft Windows в левом нижнем углу располагается ссылка «Дополнительные параметры», при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере: При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ. Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы — браузер Amigo и программа Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400. Упомянутый выше Trojan.ChromePatch.1 — это рекламный троянец, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет. Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 г., чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы. Все упомянутые в статье троянцы обнаруживается и удаляются «Антивирусом Dr.Web».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
"Доктор Веб" исследовал новый троян-шпион для Mac OS X | 15.01 | Среда, 04 марта 2015 |
«Доктор Веб» исследовал новый троян для Linux | 15.01 | Четверг, 03 декабря 2015 |
«Доктор Веб» исследовал многокомпонентного троянца для Linux | 15.01 | Четверг, 25 мая 2017 |
«Доктор Веб» исследовал бэкдор, написанный на Python | 15.01 | Вторник, 17 октября 2017 |
«Доктор Веб» исследовал Linux-троян, написанный на Rust | 14.85 | Четверг, 08 сентября 2016 |
«Доктор Веб» исследовал новый банковский троян для Windows | 14.85 | Понедельник, 13 февраля 2017 |
«Доктор Веб» исследовал новый эксплойт для Microsoft Office | 14.85 | Четверг, 20 апреля 2017 |
«Доктор Веб» исследовал нового банковского троянца Trojan.Gozi | 14.69 | Пятница, 24 ноября 2017 |
«Доктор Веб» исследовал червя, заражающего архивы и удаляющего других троянцев | 14.54 | Пятница, 13 января 2017 |
«Доктор Веб» обнаружил Android-программу для показа рекламы поверх большинства запускаемых приложений | 11.39 | Четверг, 26 ноября 2015 |