Новости Software

Trojan.LoadMoney.336: троян-установщик с функциями шпиона

«Доктор Веб» предупреждает о распространении новой вредоносной программы Trojan.LoadMoney.336, созданной вирусописателями для монетизации файлового трафика.

Названный зловред представляет собой трояна-установщика с функциями шпиона. Программа распространяется через файлообменные сайты. При попытке загрузить тот или иной файл происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется скачивание трояна. После запуска зловред обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнёрские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, а также на рекламное и вредоносное ПО.

Троян выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить своё опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.

Вредоносная программа собирает на зараженном компьютере и передаёт злоумышленникам следующую информацию: версия операционной системы, сведения об установленных антивирусах, брандмауэрах и антишпионском ПО, информацию о модели видеоадаптера, объёме оперативной памяти, данные о жёстких дисках и имеющихся на них разделах, сведения о типе материнской платы и пр.

Затем троян обращается к своему управляющему серверу с GET-запросом и получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов. Их скачивание выполняется в отдельном потоке: зловред отправляет на содержащий требуемые файлы сервер соответствующий HEAD-запрос, и, в случае если тот возвращает ошибку 405 (Method Not Allowed) или 501 (Not Implemented), на сервер отправляется повторный GET-запрос. Если указанная в конфигурационных данных ссылка на целевой файл оказывается корректной, троян извлекает информацию о длине файла и его имени из ответа сервера, после чего начинает загрузку приложения. 

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥