Вирусные аналитики компании "Доктор Веб" исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики "Доктор Веб" продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
Главные события дня Воскресенье, 22 мая
Последние новости
- Бизнес | Позавчера, 16:43
Как Христо Стоичков стал лучшим бомбардиром ЧМ 1994 - Связь | Позавчера, 14:15
Київстар забезпечив медикаментами 12 лікарень - Интернет | Позавчера, 13:45
lifecell запускає проєкт на підтримку ментального здоров’я абонентів - Интернет | Позавчера, 13:15
GlobalLogic запускає безкоштовний профорієнтаційний курс для старшокласників - Технологии | Позавчера, 12:45
Google уходит из РФ - Бизнес | Позавчера, 12:15
Крымские татары верят в близкое возвращение Крыма, - Сеитаблаев - Интернет | Позавчера, 12:10
Студия IMA качественно разрабатывает и продвигает вебсайты - Безопасность | Позавчера, 11:45
"Андрей Шевченко стал первым послом платформы UNITED 24", — Зеленский - Безопасность | Позавчера, 11:15
Украина получит 9 миллиардов евро помощи от Евросоюза в 2022 году
Последние материалы
- Аналитика | 14 мая, 23:52
Самое интересное за неделю. Выпуск 14 (2022) - хакеры пытаются атаковать Starlink, а Ajax открывает завод у Турции - Фотогалереи | 12 мая, 8:11
Google анонсировала смарт-часы Pixel Watch и смартфон Pixel 6A - Фотогалереи | 12 мая, 8:08
Google анонсировала беспроводные наушники Pixel Buds Pro с активным шумодавом - Фотогалереи | 10 мая, 8:35
В Китае небо кроваво-красного цвета - Аналитика | 9 мая, 10:01
Самое интересное за неделю. Выпуск 13 (2022) - США не верят в угрозу применения путиным ядерного оружия - Фотогалереи | 9 мая, 8:18
Гаубицы M777 и бронетранспортеры Bushmaster уже в Украине - Фотогалереи | 9 мая, 8:16
2С1 "Гвоздика" "отрабатывает" харьковское направление - Обзоры | 8 мая, 23:14
MikroTik hAP ac3 LTE6 kit (RBD53GR-5HacD2HnD&R11e-LTE6): "от кабеля и SIM-карты"! - Аналитика | 6 мая, 16:38
Самое интересное за неделю. Выпуск 12 (2022) - высокоточные гаубицы из Швеции и коммутатор Teltonika с 8 Gigabit
Популярные новости
- Интернет | 17 мая, 14:15
В Латвии заблокируют "Вконтакте" и "Одноклассники" 3.50 - Безопасность | 17 мая, 11:45
Украина будет чувствовать последствия войны ближайшую сотню лет – Шольц 5.00 - Бизнес | Позавчера, 16:43
Как Христо Стоичков стал лучшим бомбардиром ЧМ 1994 1.00 - Связь | Позавчера, 14:15
Київстар забезпечив медикаментами 12 лікарень 0.00 - Интернет | Позавчера, 13:45
lifecell запускає проєкт на підтримку ментального здоров’я абонентів 0.00 - Интернет | Позавчера, 13:15
GlobalLogic запускає безкоштовний профорієнтаційний курс для старшокласників 0.00 - Технологии | Позавчера, 12:45
Google уходит из РФ 0.00 - Бизнес | Позавчера, 12:15
Крымские татары верят в близкое возвращение Крыма, - Сеитаблаев 0.00 - Интернет | Позавчера, 12:10
Студия IMA качественно разрабатывает и продвигает вебсайты 0.00