Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201315:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

28.06.2014
Как известно, Google – одна из немногих крупных компаний в мире, которая полностью строит свой бизнес в зависимости от сети Интернет. Вот почему в интересах самой компании привлечь к сети как можно большее количество пользователей, а потому, кроме запуска нового интернет-провайдера под своим именем, здесь стараются все чаще финансировать самые разные схемы, которые бы обеспечивали доступ к сети все более новым и новым клиентам.
16.08.2013
Компания «Доктор Веб» предупреждает пользователей о популярной в Рунете мошеннической схеме: злоумышленники регистрируются на рекрутинговых порталах, получая электронные адреса потенциальных жертв, а затем рассылают по ним заманчивые предложения о работе в престижных российских и зарубежных компаниях, сулящие весьма крупные оклады. Пройдя по ссылке, указанной в таком письме, соискатель попадает на принадлежащий мошенникам сайт.
22.09.2016
Многие пользователи после пары месяцев после покупки iPhone или MacBook начинают задаваться вопросом, когда же нужно в будущем менять аккумулятор? Ведь оригинальные запчасти к и так недешевому устройству стоят немало, а потому действительно об этом нужно подумать заранее. Но нужно помнить также, что при правильной эксплуатации время до замены батареи можно продлить, даже если вы постоянно пользуетесь вашим мобильным Apple-устройством. О том, как правильно эксплуатировать батарею, мы также расскажем в этой статье.
07.04.2014
Платежные функции удостоверения личности с электронным носителем информации должны быть реализованы на базе национальной платежной системы, сообщил на пресс-конференции в пятницу заместитель руководителя ФМС России Владимир Лянной. «ФМС России целиком и полностью поддерживает предложение о том, что платежные функции при применении удостоверения личности с электронным носителем информации должны быть реализованы на базе национальной платежной системы и быть максимально независимыми от международной ситуации», — заявил Лянной. Он напомнил, что электронные паспорта начнут выдаваться с
17.06.2014
Мошенничество В таких случая, ddos атака осуществляется по инициативе хакера. Целей для её проведения, может быть много, но основные это полный доступ к компьютеру (ам) пользователя (ей) для полной блокировки работы системы. В случаях если защиты нет, то хакер может полностью парализовать работу такого компа или же целого сервера. После этого требуется, какой либо выкуп за разблокировку. Что примечательно, некоторые пользователи соглашаются на условия мошенников и выплачивают требуемые деньги. Конкуренция

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв