Вірусні аналітики Доктор Веб представили результати дослідження троянців, сімейства Trojan.LoadMoney
«Доктор Веб»: нові троянці-завантажувачі працюють потай
Вірусні аналітики компанії «Доктор Веб» представили результати дослідження кількох троянців, які відносяться до відомого сімейства Trojan.LoadMoney та завантажують на інфіковані комп'ютери інші небезпечні програми.
Сімейство шкідливих програм Trojan.LoadMoney відоме ще з 2013 року, і нові його представники з'являються із завидною регулярністю. Один із них отримав назву Trojan.LoadMoney.3209. У троянці міститься дві інтернет-адреси, з яких він скачує та запускає інші шкідливі програми. На момент дослідження він завантажував з обох адрес ідентичний зашифрований файл і зберігав його в папку з випадковим ім'ям. Потім цей файл зчитувався в пам'ять, видалявся, а потім знову зберігався в папку, також з випадковим ім'ям. Зрештою, цей файл, що виконується, зчитувався в пам'ять і запускався з неї, а вихідний файл видалявся.
Один із файлів, які завантажує Trojan.LoadMoney.3209, отримав назву Trojan.LoadMoney.3558. Ця шкідлива програма влаштована складніше. Trojan.LoadMoney.3558 відіграє роль основного інфектора системи і використовує для скачування файлів утиліту cURL, що вільно розповсюджується. Ця утиліта дозволяє взаємодіяти з кількома серверами в Інтернеті за безліччю різних протоколів. Троянець розшифровує її та зберігає на диск. Для завантаження файлів на заражений комп'ютер за допомогою cURL Trojan.LoadMoney.3558 використовує Планувальник завдань Windows. Троянець містить чотири зашифровані адреси інтернет-ресурсів, один з них використовується для роботи cURL, а з трьох тих, що залишилися непомітно для користувача, завантажується і запускається виконуваний файл, який отримав назву Trojan.LoadMoney.3263. Після запуску вихідний файл Trojan.LoadMoney.3263 видаляється.
Після завантаження троянець витягає з себе виконуваний файл, відновлює його заголовок і зберігає в тимчасовій папці, а потім запускає. Цей файл детектується Dr.Web під ім'ям Trojan.Siggen7.35395. Завдяки тому, що вірусописувачі не реалізували в коді шкідливих програм жодних візуальних ефектів, усі згадані вище троянці не проявляють себе в зараженій системі, тому виявити їхню шкідливу діяльність непросто.
Вірусні аналітики «Доктор Веб» продовжують дослідження цього сімейства шкідливих програм і небезпечних файлів, що завантажуються ними з інтернету. Антивірусні продукти Dr.Web захищають від усіх відомих на сьогодні представників сімейства Trojan.LoadMoney.
