«Доктор Веб» изучил несколько троянских программ, принадлежащих к семейству Trojan.LoadMoney

Исследователи вирусных программ «Доктор Веб» изучают несколько троянских программ, принадлежащих к семейству Trojan.LoadMoney, скачивающие другие вирусы на уже инфицированный троянцем компьютер.

Вирусы семейства Trojan.LoadMoney, начиная с 2013 года и по сей день, не прекращают «радовать» пользователей компьютеров, своими регулярными разработками. Например, в троянец с названием Trojan.LoadMoney.3209 встроено два веб-адреса, с которых он запускает дополнительные вирусные приложения. Во время изучения этого вируса, происходил запуск зашифрованных файлов с этих двух адресов, которые сохранялись во временной папке, с произвольно сгенерированным названием. После этого, файл переходил в память компьютера, самоуничтожался и снова оказывался во временной папке под новым названием. Следом, он опять оказывался в памяти и устанавливался с нее, начальный файл, при этом удалялся.

Файл, загружаемый Trojan.LoadMoney.3209, с именем Trojan.LoadMoney.3558 выполнял более сложные задачи. Trojan.LoadMoney.3558, скачивал файлы с помощью служебной утилиты cURL. Благодаря этой утилите, скачивание файлов возможно одновременно с разных серверов Интернета, используя разные протоколы. Троянец расшифровывал ее и сохранял на компьютер. Скачивание файлов утилитой cURL на компьютер с основным вирусом, Trojan.LoadMoney.3558 пользовался стандартным Планировщиком заданий для Windows. В этот троянец встроено уже четыре веб-адреса. Один адрес отвечает за работу с cURL, с остальных трех происходит скрытая загрузка исполняемого файла с названием Trojan.LoadMoney.3263. Эта программа, также удаляется сразу как запустится.

Устанавливаясь на компьютер, троянец запускает файл, отвечающий за исполнение, генерирует ему имя, сохраняется и запускается. Dr.Web определяет этот файл как Trojan.Siggen7.35395. Разработчики вирусов не прописывают в коде программ какие-либо видимые эффекты, по этому в системе компьютера они никак не отображаются во время работы и обнаружение их становится проблематично.

Исследователи «Dr.Web» все еще изучают представителей семейства Trojan.LoadMoney и производных от него программ. По мере развития ситуации, мы будет рассказывать об изменениях нашим читателям. Программы выпускаемые «Dr.Web» гарантируют полную безопасность от любого представителя Trojan.LoadMoney.

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.