Распространители платных архивов ZIPPRO используют собственного троянца для загрузки вредоносного ПО

Несколько дней назад мы писали о распространении вместе с платными архивами ZIPPO вредоносного ПО. Дальнейшие исследования компании "Доктор веб" показали, что злоумышленники не просто включают в состав своих архивов вредоносные программы, для их загрузки они используют собственного троянца, который, инфицировав компьютер пользователя, позволяет скачивать с удаленных серверов другие опасные приложения.

Мониторинг серверов партнерской программы ZIPPRO показал, что, помимо уже упомянутого ранее Trojan.Mayachok.1, пользователи, скачивающие платные архивы, получают в качестве «бесплатного дополнения» и другие вредоносные приложения. Среди них — существующее с 2011 года семейство троянцев, известное под общим именем Trojan.Zipro, авторами которых являются организаторы партнерской программы ZIPPRO.

При открытии архива Trojan.SMSSend, созданного с использованием программного обеспечения ZIPPRO, происходит загрузка зашифрованного и сжатого исполняемого файла, который запускается в момент прекращения работы основного модуля Trojan.SMSSend.

Запущенное в инфицированной системе приложение пытается загрузить в память компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже загруженный в память модуль начитает установку троянца в операционной системе: модифицирует системный реестр, создавая ветвь HKCUSOFTWAREWin32ServiceApp и сохраняя туда ряд конфигурационных параметров, записывает на диск файл троянской программы, регистрирует путь к нему в ветви реестра, отвечающей за автоматическую загрузку приложений, и запускает троянца на исполнение. При этом вредоносная программа не устанавливается в операционной системе, если в ней уже установлен конструктор платных архивов ZIPPRO.

Запустившись в операционной системе, Trojan.Zipro читает из реестра собственные конфигурационные данные, устанавливает соединение с принадлежащим злоумышленникам удаленным сервером и скачивает оттуда вредоносное приложение — среди таковых был замечен не только упомянутый ранее Trojan.Mayachok.1. На тех же серверах, с которых осуществляется загрузка этого вредоносного приложения, был обнаружен опасный банковский троянец семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro запускает скачанную вредоносную программу. Если попытка загрузить вредоносное приложение с удаленного сайта не удалась, троянец удаляет себя из системы.


Сергей и Марина Бондаренко, 3DNews





Интересные новости
Незавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости
Microsoft отключила протокол установщика приложений MSIX, чтобы защитить пользователей от вредоносного ПОMicrosoft отключила протокол установщика приложений MSIX, чтобы защитить пользователей от вредоносного ПО
Windows XP сегодня исполнилось 20 лет — и многие всё ещё активно используют её
В браузере Google Chrome появилась функция моментальной загрузки недавно закрытых вкладок
Количество вредоносного ПО для macOS увеличилось более чем в 10 раз
В Firefox появится защита от автоматической загрузки вредоносных файлов
Adobe привлекла ведущего разработчика камер Pixel для создания собственного приложения для фотосъёмки
Google Chrome начнёт блокировать загрузки смешанного контента
Mozilla исключит возможность сторонней загрузки дополнений в Firefox
В Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакеры
watchOS 3.2, macOS 10.12.4 и tvOS 10.2 стали доступны для загрузки
Последние новости
Подгружаем последние новости