Новости Software

Распространители платных архивов ZIPPRO используют собственного троянца для загрузки вредоносного ПО

Несколько дней назад мы писали о распространении вместе с платными архивами ZIPPO вредоносного ПО. Дальнейшие исследования компании "Доктор веб" показали, что злоумышленники не просто включают в состав своих архивов вредоносные программы, для их загрузки они используют собственного троянца, который, инфицировав компьютер пользователя, позволяет скачивать с удаленных серверов другие опасные приложения.

Мониторинг серверов партнерской программы ZIPPRO показал, что, помимо уже упомянутого ранее Trojan.Mayachok.1, пользователи, скачивающие платные архивы, получают в качестве «бесплатного дополнения» и другие вредоносные приложения. Среди них — существующее с 2011 года семейство троянцев, известное под общим именем Trojan.Zipro, авторами которых являются организаторы партнерской программы ZIPPRO.

При открытии архива Trojan.SMSSend, созданного с использованием программного обеспечения ZIPPRO, происходит загрузка зашифрованного и сжатого исполняемого файла, который запускается в момент прекращения работы основного модуля Trojan.SMSSend.

Запущенное в инфицированной системе приложение пытается загрузить в память компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже загруженный в память модуль начитает установку троянца в операционной системе: модифицирует системный реестр, создавая ветвь HKCU\SOFTWARE\Win32ServiceApp и сохраняя туда ряд конфигурационных параметров, записывает на диск файл троянской программы, регистрирует путь к нему в ветви реестра, отвечающей за автоматическую загрузку приложений, и запускает троянца на исполнение. При этом вредоносная программа не устанавливается в операционной системе, если в ней уже установлен конструктор платных архивов ZIPPRO.

Запустившись в операционной системе, Trojan.Zipro читает из реестра собственные конфигурационные данные, устанавливает соединение с принадлежащим злоумышленникам удаленным сервером и скачивает оттуда вредоносное приложение — среди таковых был замечен не только упомянутый ранее Trojan.Mayachok.1. На тех же серверах, с которых осуществляется загрузка этого вредоносного приложения, был обнаружен опасный банковский троянец семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro запускает скачанную вредоносную программу. Если попытка загрузить вредоносное приложение с удаленного сайта не удалась, троянец удаляет себя из системы.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥
В этом году Чехия выпустит на 250 000 меньше машин из-за дефицита чипов 12 мин.
Представлены портативные твердотельные накопители KLEVV S1 и R1 ёмкостью до 2 Тбайт 14 мин.
Вышел профессиональный монитор ASUS ProArt PA329CV с поддержкой 4K HDR 43 мин.
Поставщики автокомпонентов попытаются взыскать ущерб с автопроизводителей за отмену заказов 3 ч.
Новая статья: Групповое тестирование 46 видеокарт в Far Cry 6 8 ч.
Патент Apple указывает на возможность появления выреза в верхней части дисплея MacBook Pro 15 ч.
Австрийский поставщик Intel займётся выпуском ABF-подложек 19 ч.
«Давай, подай на нас в суд»: Dbrand приостановила продажи лицевых панелей для PS5 после угрозы судом 20 ч.
Новое правительство Японии полно решимости увеличить финансирование инновационной деятельности 24 ч.
Илон Маск склонен объяснять гибкость стиля управления Tesla своей склонностью к инженерному делу 24 ч.