Онлайн-консультация

Тел. в Москве: +7 495 _ 576 00 45
Тел. в СПБ: +7 812 _ 448 39 55
intranetoffice

631044003
Новости
Семинары
Публикации
Спецпредложения
Вопросы и ответы
Trojan.LoadMoney.336: троян-установщик с функциями шпиона
2015.08.20 14:43

«Доктор Веб» предупреждает о распространении новой вредоносной программы Trojan.LoadMoney.336, созданной вирусописателями для монетизации файлового трафика.

Названный зловред представляет собой трояна-установщика с функциями шпиона. Программа распространяется через файлообменные сайты. При попытке загрузить тот или иной файл происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется скачивание трояна. После запуска зловред обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнёрские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, а также на рекламное и вредоносное ПО.

Троян выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить своё опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.

Вредоносная программа собирает на зараженном компьютере и передаёт злоумышленникам следующую информацию: версия операционной системы, сведения об установленных антивирусах, брандмауэрах и антишпионском ПО, информацию о модели видеоадаптера, объёме оперативной памяти, данные о жёстких дисках и имеющихся на них разделах, сведения о типе материнской платы и пр.

Затем троян обращается к своему управляющему серверу с GET-запросом и получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов. Их скачивание выполняется в отдельном потоке: зловред отправляет на содержащий требуемые файлы сервер соответствующий HEAD-запрос, и, в случае если тот возвращает ошибку 405 (Method Not Allowed) или 501 (Not Implemented), на сервер отправляется повторный GET-запрос. Если указанная в конфигурационных данных ссылка на целевой файл оказывается корректной, троян извлекает информацию о длине файла и его имени из ответа сервера, после чего начинает загрузку приложения. 
Источник: 3dnews


О проекте · Коммуникатор · Система задач · Заметки · IP-телефония · Контакты
© 2010, ЗАО "Российская внебиржевая сеть"
           
Rambler's Top100