Вирусные аналитики компании "Доктор Веб" исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики "Доктор Веб" продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
Последние новости
- Бизнес | Вчера, 17:15
На Харківщині будують укриття для школи, що витримає удар С-300 - Технологии | Вчера, 16:45
Eurofighter патрулюватимуть польське небо з 2025 року - Безопасность | Вчера, 16:15
Людям із залежністю від азартних ігор не будуть видавати кредити - Безопасность | Вчера, 15:45
Польща передала Україні 45-й пакет військової допомоги, — Rzeczpospolita - Технологии | Вчера, 15:15
Запуск синей ветки метро осенью под вопросом, - эксперт Олег Попенко - Технологии | Вчера, 14:45
На вооружение ВМС Израиля поступили 2 новых десантных корабля - Бизнес | Вчера, 14:15
Al-Jarida: КСИР снабжает Хизбаллу электромагнитными бомбами - Бизнес | Вчера, 13:45
Чверті працюючих в Україні грошей вистачає тільки на їжу, — опитування - Технологии | Вчера, 13:15
В РФ розбився ударний вертоліт Мі-28 - екіпаж загинув
Последние материалы
- Обзоры | 22 июля, 7:57
Gelius Transformer 2 GP-LTL004 – лампа з дисплеєм та бездротовою зарядкою - Фотогалереи | 20 июля, 23:10
Первый в Украине дом на 3D-принтере построили в Ирпене - Аналитика | 18 июля, 14:00
Бекапи і захист бізнесу: що потрібно знати, якщо ви тільки про це почали думати - Фотогалереи | 16 июля, 8:35
Вчера в Мадриде испанцы праздновали победу своей сборной на Евро 2024 - Обзоры | 15 июля, 13:59
Портативна LED лампа з датчиком руху (L1005) - забудьте за вимикач! - Обзоры | 9 июля, 15:41
Термосумка NEOR 10L - для пікніків на двох - Обзоры | 9 июля, 11:51
Ajax LightSwitch (2-gang) Jeweller - бездротовий розумний двоклавішний вимикач світла - Обзоры | 3 июля, 12:19
Ajax DoorProtect Jeweller – бездротовий датчик відкриття дверей - Обзоры | 29 июня, 11:54
Gelius GP-PK006 – захищений годинник, що знає, де ваша дитина
Популярные новости
- Связь | Позавчера, 22:39
OPPO та Ericsson підписали угоду у сфері перехресного ліцензування 5G 5.00 - Интернет | Вчера, 11:45
В РФ снизят скорость загрузки YouTube 1.00 - Софт | Позавчера, 20:05
Основні мови програмування: вибір і застосування в розробці 1.00 - Бизнес | Вчера, 17:15
На Харківщині будують укриття для школи, що витримає удар С-300 0.00 - Технологии | Вчера, 16:45
Eurofighter патрулюватимуть польське небо з 2025 року 0.00 - Безопасность | Вчера, 16:15
Людям із залежністю від азартних ігор не будуть видавати кредити 0.00 - Безопасность | Вчера, 15:45
Польща передала Україні 45-й пакет військової допомоги, — Rzeczpospolita 0.00 - Технологии | Вчера, 15:15
Запуск синей ветки метро осенью под вопросом, - эксперт Олег Попенко 0.00 - Технологии | Вчера, 14:45
На вооружение ВМС Израиля поступили 2 новых десантных корабля 0.00