Trojan.LoadMoney.336: троян-установщик с функциями шпиона

Автор soner30, 23-08-2015, 01:54:41

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

soner30

«Доктор Веб» предупреждает о распространении новой вредоносной программы Trojan.LoadMoney.336, созданной вирусописателями для монетизации файлового трафика.

Названный зловред представляет собой трояна-установщика с функциями шпиона. Программа распространяется через файлообменные сайты. При попытке загрузить тот или иной файл происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется скачивание трояна. После запуска зловред обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнёрские приложения, которые тоже загружаются из Интернета и запускаются на инфицированном компьютере, а также на рекламное и вредоносное ПО.
Троян выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить своё опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.

Вредоносная программа собирает на зараженном компьютере и передаёт злоумышленникам следующую информацию: версия операционной системы, сведения об установленных антивирусах, брандмауэрах и антишпионском ПО, информацию о модели видеоадаптера, объёме оперативной памяти, данные о жёстких дисках и имеющихся на них разделах, сведения о типе материнской платы и пр.

Затем троян обращается к своему управляющему серверу с GET-запросом и получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов. Их скачивание выполняется в отдельном потоке: зловред отправляет на содержащий требуемые файлы сервер соответствующий HEAD-запрос, и, в случае если тот возвращает ошибку 405 (Method Not Allowed) или 501 (Not Implemented), на сервер отправляется повторный GET-запрос. Если указанная в конфигурационных данных ссылка на целевой файл оказывается корректной, троян извлекает информацию о длине файла и его имени из ответа сервера, после чего начинает загрузку приложения.

CaPa

так а что вообще этот троян делает. прочитал как работает начало трояна, но основную его роль не понял

soner30

Вредоносная программа собирает на зараженном компьютере и передаёт злоумышленникам следующую информацию: версия операционной системы, сведения об установленных антивирусах, брандмауэрах и антишпионском ПО, информацию о модели видеоадаптера, объёме оперативной памяти, данные о жёстких дисках и имеющихся на них разделах, сведения о типе материнской платы и пр.
это для Детальной реал-тайм статистики!
========================
для монетизации файлового трафика
зарабатывают с каждой установки тулбаров и браузеров от известных брендов ,торрент ресурсов....
короче устанавливает на комп всякий шлак типо яндекса и тп  ,причем за один раз может столько нашпиговать комп г@вном ,что потом не разгребешь .ну и думаю что клавиатурного шпиона не кто не отменял))
===================
К данной категории относятся различные инсталляторы, которые устанавливают на компьютер жертвы всевозможные дополнительные компоненты вместе с требуемым приложением. Одним из таких троянов является Trojan.LoadMoney.336.
===============
Конфигурационный файл содержит ссылки на вредоносное ПО и различные партнерские приложения, которые загружаются из интернета и запускаются на инфицированном компьютере.
==================
Помимо ссылок на загружаемые и устанавливаемые компоненты, зашифрованный файл конфигурации содержит данные о диалоговом окне, которое отображается перед их установкой. Флажки, с помощью которых можно отключить устанавливаемые компоненты, неактивны по умолчанию. Однако при наведении курсора третий из них неожиданно становится активным и позволяет сбросить первые два.

CaPa

ясно. т.е. ничего супер критического нет

soner30

в принципе нет)) если не учитывать ,что за один "не ловкий щечек мышки" может установиться сотни приложений и не факт что безвредные

CaPa

ну так вот я и хотел узнать что именно ставится и что делают на ПК эти злодеи )

Вверх