Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201314:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

17.04.2014
Компания Panasonic представила защищенные планшеты Toughpad FZ-M1 и FZ-G1 с установленными на них мобильными приложениями SAP Work Manager и SAP Rounds Manager. Совместное решение Panasonic и SAP специально разработано для отраслей, характеризующихся сложными условиями труда, большим количеством мобильных сотрудников и территориально-распределенного оборудования, необходимостью обработки крупных массивов информации и т.д.
15.04.2014
Гвидо ван Россум (Guido van Rossum), великодушный пожизненный диктатор проекта Python, внёс изменения в регламент поддержки Python 2.7, продлив жизненный цикл данной ветки с 5 до 10 лет. Таким образом, выпуск обновлений для ветки Python 2.7 будет осуществляться до 2020 года. Изменение внесено для удовлетворения потребностей пользователей, которые пока не могут перевести свои проекты на Python 3.
31.01.2014
Роскомнадзор предупредил СМИ о вступлении в силу изменений в закон «Об информации», которые предписывают блокировать сайты за экстремизм. Письмо регулятора поступило в «Ленту.ру» 31 января.
01.11.2016
Создание интернет-магазина всегда связано с началом новой деятельности, а именно торговой. Как правильно создать торговую площадку? Достаточно будет ее заказать у профессиональной студии, которая на этом специализируется. Но если уж вопрос поставлен о том, как создать, то хочется создать самому. Но и здесь есть варианты. Не всегда «создавать самому» обходится дешевле. Если вы конечно специалист в некоторых смежных направлениях, то вам не будет стоить труда написать или подправить функционал для такой платформы.
02.11.2015
Файловый менеджер – это обычное простая утилита у нас на смартфоне или планшете. И многие даже не задумываются о его свойствах, просто используют как есть и все. Такой он незаметный. Но те, кто привык, что файловый менеджер должен быть максимально удобным, будут искать способы повышения его функциональности.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв