Вирусные аналитики компании "Доктор Веб" исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики "Доктор Веб" продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
Главные события дня Понедельник, 16 марта
Последние новости
- Технологии | Сегодня, 10:15
Дротові FPV РФ ризикують перетворитися з масового рішення на дефіцит - Технологии | Сегодня, 9:45
США розмістили на Близькому Сході 10 тисяч українських дронів Merops - Безопасность | Сегодня, 9:15
Израиль получает цели для ударов дронами от обычных граждан Ирана - Технологии | Сегодня, 8:45
Reuters: Япония присоединится к проекту США "Золотой купол" - Безопасность | Сегодня, 8:15
Китай призвал США прекратить продажу оружия Тайваню - Бизнес | Вчера, 21:56
У лютому крипторинок просів на 22,6% - Binance - Бизнес | 13 марта, 13:45
У Польщі планують запровадити новий туристичний збір - Безопасность | 13 марта, 13:15
Иран разрешит танкерам под индийским флагом проходить через Ормузский пролив - Бизнес | 13 марта, 12:45
В Украине введут День румынского языка — Зеленский
Последние материалы
- Обзоры | 10 марта, 5:54
Cablexpert NCT-31 - тестер для UTP, STP та коаксіальних кабелів - Обзоры | 9 марта, 12:51
ТО и запчасти для квадроциклов 1000 см3: что нужно знать до покупки - Обзоры | 7 марта, 9:04
RIVACASE 7812 - cумка-слінг для мобільних пристроїв - Обзоры | 3 марта, 23:20
RIVACASE 8407 - компактний футляр для засобів особистої гігієни - Интервью | 2 марта, 13:37
Юліан Зарембовський: "Px8 S2 - кращі навушники Bowers & Wilkins" - Обзоры | 1 марта, 16:24
Cablexpert A-CF-COMBO15-01 - металева док-станція для 15 підключень одночасно - Обзоры | 7 февраля, 20:25
Ajax NVR 8-channel - потужний відеореєстратор з цікавим софтом і не лише - Обзоры | 7 февраля, 8:43
be quiet! Pure Power 13 M 750W (BP026EU) - тихий модульний блок живлення з "золотим" сертифікатом - Обзоры | 6 февраля, 13:55
Logitech Zone Vibe 100 Rose - дівчача гарнітура для дзвінків та ігор
Популярные новости
- Безопасность | 12 марта, 13:15
В Барселоне случайно откопали старинный торговый квартал 2.00 - Технологии | Сегодня, 10:15
Дротові FPV РФ ризикують перетворитися з масового рішення на дефіцит 0.00 - Технологии | Сегодня, 9:45
США розмістили на Близькому Сході 10 тисяч українських дронів Merops 0.00 - Безопасность | Сегодня, 9:15
Израиль получает цели для ударов дронами от обычных граждан Ирана 0.00 - Технологии | Сегодня, 8:45
Reuters: Япония присоединится к проекту США "Золотой купол" 0.00 - Безопасность | Сегодня, 8:15
Китай призвал США прекратить продажу оружия Тайваню 0.00 - Бизнес | Вчера, 21:56
У лютому крипторинок просів на 22,6% - Binance 0.00 - Бизнес | 13 марта, 13:45
У Польщі планують запровадити новий туристичний збір 0.00 - Безопасность | 13 марта, 13:15
Иран разрешит танкерам под индийским флагом проходить через Ормузский пролив 0.00