Распространители платных архивов ПО используют собственного троянца
Новости Безопасность
Нескоторое время назад сообщалось о том, что антивирусная компания «Доктор Веб» обнаружила, что организаторы партнерской программы ZIPPRO начали распространять вместе с платными архивами вредоносное ПО. Дальнейшие исследования показали: злоумышленники не просто включают в состав своих архивов вредоносные программы, а используют для их загрузки собственного троянца, который, инфицировав компьютер пользователя, позволяет скачивать с удаленных серверов другие опасные приложения.
Мониторинг серверов партнерской программы ZIPPRO показал, что, помимо уже упомянутого ранее Trojan.Mayachok.1, пользователи, скачивающие платные архивы, получают в качестве «бесплатного дополнения» и другие вредоносные приложения. Среди них — существующее с 2011 года семейство троянцев, известное под общим именем Trojan.Zipro, авторами которых являются организаторы партнерской программы ZIPPRO.
При открытии архива Trojan.SMSSend, созданного с использованием программного обеспечения ZIPPRO, происходит загрузка зашифрованного и сжатого исполняемого файла, который запускается в момент прекращения работы основного модуля Trojan.SMSSend.
Запущенное в инфицированной системе приложение пытается загрузить в память компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже загруженный в память модуль начитает установку троянца в операционной системе: модифицирует системный реестр, создавая ветвь HKCU\SOFTWARE\Win32ServiceApp и сохраняя туда ряд конфигурационных параметров, записывает на диск файл троянской программы, регистрирует путь к нему в ветви реестра, отвечающей за автоматическую загрузку приложений, и запускает троянца на исполнение. При этом вредоносная программа не устанавливается в операционной системе, если в ней уже установлен конструктор платных архивов ZIPPRO.
Запустившись в операционной системе, Trojan.Zipro читает из реестра собственные конфигурационные данные, устанавливает соединение с принадлежащим злоумышленникам удаленным сервером и скачивает оттуда вредоносное приложение — среди таковых был замечен не только упомянутый ранее Trojan.Mayachok.1. На тех же серверах, с которых осуществляется загрузка этого вредоносного приложения, был обнаружен опасный банковский троянец семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro запускает скачанную вредоносную программу. Если попытка загрузить вредоносное приложение с удаленного сайта не удалась, троянец удаляет себя из системы.
Если вы стали жертвой злоумышленников, распространяющих созданные с помощью партнерской программы ZIPPRO приложения Trojan.SMSSend, компания «Доктор Веб» рекомендует вам обратиться в региональный отдел полиции с заявлением об уголовном преступлении, связанном с созданием и распространением партнерской программой ZIPPRO вредоносного программного обеспечения.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
