Вирусные аналитики компании "Доктор Веб" исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики "Доктор Веб" продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
Главные события дня Пятница, 19 декабря
Последние новости
- Технологии | Сегодня, 12:45
В Україні немає жодної електростанції, яку не атакувала Росія - Бизнес | Сегодня, 12:15
Binance отримала сертифікацію ISO/IEC 42001 - Связь | Сегодня, 11:45
lifecell запускає акцію "сТОП-ціна на 2 роки" для MNP-абонентів - Технологии | Сегодня, 11:15
LG Micro RGB evo - найсучасніший РК-TV з процесором AI OLED - Технологии | Сегодня, 10:45
LG представляє розширену лінійку SIGNATURE на базі ШІ - Безопасность | Сегодня, 10:15
Япония арендует остров для мониторинга военной активности Китая - Бизнес | Сегодня, 9:45
ЕС открывает Украине доступ к оборонным инвестициям - Бизнес | Сегодня, 9:15
Китай раскритиковал поставки оружия США Тайваню - Бизнес | Сегодня, 8:45
Страны ЕС договорились предоставить Украине €90 млрд
Последние материалы
- Обзоры | Позавчера, 22:06
Kingston Canvas Go! Plus SD – швидкісна карта для фотографів-екстремалів - Аналитика | 16 декабря, 14:41
Гігабітний інтернет - інвестиція у домашній комфорт та майбутнє - Аналитика | 14 декабря, 23:53
Дайджест найцікавішого за тиждень №17: ПУМБ пропонує рішення EcoFlow в оплату частинами - Аналитика | 8 декабря, 8:55
Дайджест найцікавішого за тиждень №17: знижки до 50% на продукцію EcoFlow та ракети Р-60 на БПЛА Shahed - Обзоры | 8 декабря, 0:06
ColorWay CW-PHP01P – дитячий фотоапарат-принтер з МР3 та іграми - Обзоры | 2 декабря, 20:27
Bloody MR710 - одна з кращих ігрових гарнітур до 3000 гривень - Обзоры | 28 ноября, 23:15
Bloody GPW70 (Sports White) - ергономічний ігровий джойстик з підсвіткою - Обзоры | 27 ноября, 21:36
Bloody GPW50 – дизайн під кераміку та максимальна зручність - Аналитика | 22 ноября, 19:59
Дайджест найцікавішого за тиждень №16: презентація EcoFlow TRAIL та j5create в Україні
Популярные новости
- Технологии | 14 декабря, 21:44
ПУМБ пропонує рішення EcoFlow в оплату частинами 5.00 - Технологии | 16 декабря, 14:15
Британія оголосила про значний пакет посилення української ППО, - Sky News 4.00 - Технологии | Сегодня, 12:45
В Україні немає жодної електростанції, яку не атакувала Росія 0.00 - Бизнес | Сегодня, 12:15
Binance отримала сертифікацію ISO/IEC 42001 0.00 - Связь | Сегодня, 11:45
lifecell запускає акцію "сТОП-ціна на 2 роки" для MNP-абонентів 0.00 - Технологии | Сегодня, 11:15
LG Micro RGB evo - найсучасніший РК-TV з процесором AI OLED 0.00 - Технологии | Сегодня, 10:45
LG представляє розширену лінійку SIGNATURE на базі ШІ 0.00 - Безопасность | Сегодня, 10:15
Япония арендует остров для мониторинга военной активности Китая 0.00 - Бизнес | Сегодня, 9:45
ЕС открывает Украине доступ к оборонным инвестициям 0.00