Вирусные аналитики компании "Доктор Веб" исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики "Доктор Веб" продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
Главные события дня Воскресенье, 5 апреля
Последние новости
- Технологии | Позавчера, 11:45
PLA Daily: у Японии достаточно плутония для создания 5.500 ядерных боеголовок - Связь | Позавчера, 11:15
Интернет под угрозой: как война в Иране может обрушить глобальную сеть - Технологии | Позавчера, 10:45
Стартовала миссия Artemis II - Технологии | Позавчера, 10:15
Страны Персидского залива ищут альтернативу Ормузскому проливу - Связь | Позавчера, 9:45
Київ готують до запуску пілотного 5G, — Мінцифри - Безопасность | Позавчера, 9:15
В Турции создается региональное командование НАТО - Бизнес | Позавчера, 8:45
Венеція вдвічі підвищує збір для туристів - Безопасность | Позавчера, 8:15
Парламент Молдовы одобрил выход страны из СНГ - Безопасность | 2 апреля, 15:45
ОАЕ готуються допомогти США силою відкрити Ормузьку протоку, - WSJ
Последние материалы
- Обзоры | 26 марта, 22:47
RIVACASE 8180 – 34-літровий бізнес-кейс на колесах і не лише для відряджень - Обзоры | 16 марта, 10:31
Verbatim USB-C Pro Multiport Hub 9 Port CMH-09 - 9-портовий хаб в металевому корпусі - Обзоры | 10 марта, 5:54
Cablexpert NCT-31 - тестер для UTP, STP та коаксіальних кабелів - Обзоры | 9 марта, 12:51
ТО и запчасти для квадроциклов 1000 см3: что нужно знать до покупки - Обзоры | 7 марта, 9:04
RIVACASE 7812 - cумка-слінг для мобільних пристроїв - Обзоры | 3 марта, 23:20
RIVACASE 8407 - компактний футляр для засобів особистої гігієни - Интервью | 2 марта, 13:37
Юліан Зарембовський: "Px8 S2 - кращі навушники Bowers & Wilkins" - Обзоры | 1 марта, 16:24
Cablexpert A-CF-COMBO15-01 - металева док-станція для 15 підключень одночасно - Обзоры | 7 февраля, 20:25
Ajax NVR 8-channel - потужний відеореєстратор з цікавим софтом і не лише
Популярные новости
- Технологии | Позавчера, 11:45
PLA Daily: у Японии достаточно плутония для создания 5.500 ядерных боеголовок 0.00 - Связь | Позавчера, 11:15
Интернет под угрозой: как война в Иране может обрушить глобальную сеть 0.00 - Технологии | Позавчера, 10:45
Стартовала миссия Artemis II 0.00 - Технологии | Позавчера, 10:15
Страны Персидского залива ищут альтернативу Ормузскому проливу 0.00 - Связь | Позавчера, 9:45
Київ готують до запуску пілотного 5G, — Мінцифри 0.00 - Безопасность | Позавчера, 9:15
В Турции создается региональное командование НАТО 0.00 - Бизнес | Позавчера, 8:45
Венеція вдвічі підвищує збір для туристів 0.00 - Безопасность | Позавчера, 8:15
Парламент Молдовы одобрил выход страны из СНГ 0.00 - Безопасность | 2 апреля, 15:45
ОАЕ готуються допомогти США силою відкрити Ормузьку протоку, - WSJ 0.00