Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

«Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы

16 декабря 2016 года

Вредоносные программы, предназначенные для несанкционированной установки других приложений, весьма популярны у злоумышленников. В Интернете действует множество так называемых «партнерских программ», выплачивающих вознаграждение за установку ПО, чем и пользуются вирусописатели. Одним из таких троянцев-установщиков является Trojan.Ticno.1537, исследованный вирусными аналитиками компании «Доктор Веб» в начале декабря 2016 года.

Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows. Кроме того, Trojan.Ticno.1537 проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает Проводник и завершает свою работу.

Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip.

#drweb

На изображении выше показано нестандартное диалоговое окно сохранения файла Microsoft Windows: в его левом нижнем углу располагается ссылка «Дополнительные параметры», при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере:

#drweb

При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ.

#drweb

Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы — браузер Amigo и программа HomeSearch@Mail.ru разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400.

Упомянутый выше Trojan.ChromePatch.1 — это рекламный троянец, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет.

#drweb

Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 года, чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы.

Все упомянутые в статье троянцы успешно обнаруживается и удаляются Антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

Подробнее о троянце

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии