Вирусные аналитики компании "Доктор Веб" исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики "Доктор Веб" продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
Главные события дня Воскресенье, 1 февраля
Последние новости
- Гаджеты | Позавчера, 15:15
Выбор игрового смартфона в 2026 году - Технологии | Позавчера, 14:45
Эко-тюнинг: как перепрошивка ЭБУ помогает снизить расход топлива на 10–15% - Бизнес | Позавчера, 13:15
Великобритания и Китай подписали ряд соглашений - Технологии | Позавчера, 12:48
Что показывает КТ грудной клетки: болезни, которые выявляют и дальнейшие шаги - Бизнес | Позавчера, 12:45
Италия передала Украине котельное оборудование на €1,86 млн - Бизнес | Позавчера, 12:15
США и Дания начали переговоры по соглашению о Гренландии - Технологии | Позавчера, 11:45
Spark воспроизвела российский дрон типа "ждун" - Бизнес | Позавчера, 11:15
НБУ снизил учетную ставку до 15% - Технологии | Позавчера, 10:45
Правительство запускает программу "СвітлоДім"
Последние материалы
- Обзоры | 14 января, 9:06
Verbatim Sync & Charge USB4 - 240 Вт (31847) - USB-C - кабель для потужних пристроїв - Обзоры | 28 декабря, 18:19
Verbatim GaN 240Вт (32205) – найпотужнішій мобільний адаптер серед тих, що я бачив - Обзоры | 26 декабря, 11:31
Автономний Інтернет під час блекаутів: живлення роутера та ONU - Обзоры | 24 декабря, 12:03
Logitech Wave Keys – твоя особливо ергономічна клавіатура - Обзоры | 17 декабря, 22:06
Kingston Canvas Go! Plus SD – швидкісна карта для фотографів-екстремалів - Аналитика | 16 декабря, 14:41
Гігабітний інтернет - інвестиція у домашній комфорт та майбутнє - Аналитика | 14 декабря, 23:53
Дайджест найцікавішого за тиждень №17: ПУМБ пропонує рішення EcoFlow в оплату частинами - Аналитика | 8 декабря, 8:55
Дайджест найцікавішого за тиждень №17: знижки до 50% на продукцію EcoFlow та ракети Р-60 на БПЛА Shahed - Обзоры | 8 декабря, 0:06
ColorWay CW-PHP01P – дитячий фотоапарат-принтер з МР3 та іграми
Популярные новости
- Технологии | 28 января, 16:30
Казахстанські ДШВ виходять на дрібносерійне складання БпЛА 4.00 - Гаджеты | Позавчера, 15:15
Выбор игрового смартфона в 2026 году 0.00 - Технологии | Позавчера, 14:45
Эко-тюнинг: как перепрошивка ЭБУ помогает снизить расход топлива на 10–15% 0.00 - Бизнес | Позавчера, 13:15
Великобритания и Китай подписали ряд соглашений 0.00 - Технологии | Позавчера, 12:48
Что показывает КТ грудной клетки: болезни, которые выявляют и дальнейшие шаги 0.00 - Бизнес | Позавчера, 12:45
Италия передала Украине котельное оборудование на €1,86 млн 0.00 - Бизнес | Позавчера, 12:15
США и Дания начали переговоры по соглашению о Гренландии 0.00 - Технологии | Позавчера, 11:45
Spark воспроизвела российский дрон типа "ждун" 0.00 - Бизнес | Позавчера, 11:15
НБУ снизил учетную ставку до 15% 0.00