Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201315:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

26.07.2013
Американская независимая организация NSS Labs, занимающаяся исследованиями и тестированием решений в области безопасности, признала браузер Internet Explorer 10 самым безопасным среди аналогов. Internet Explorer 10 распознал наибольшее количество вредоносных сайтов, выдав соответствующее предупреждение, по сравнению со всеми другими популярными браузерами. IE10 также быстрее других браузеров определяет вновь появившиеся вредоносные ссылки. Такое заключение содержится в отчете исследовательской компании NSS Labs. Исследование проходило с 13 марта по 9 апреля 2013 г.
29.03.2014
Компания D-Link представила новую внешнюю точку доступа повышенной мощности DAP-3410 со скоростью беспроводного соединения до 300 Мбит/с (802.11 a/n). Новая точка доступа разработана для эксплуатации в неблагоприятных погодных условиях в диапазоне рабочих температур от -20 до 60°C.
06.03.2014
Прокуратура США отказалась от части обвинений в адрес журналиста и интернет-активиста Баррета Бруана (Barrett Brown). Соответствующее заявление прокурора 6 марта опубликовало издание Mashable.
21.03.2013
В Москве до конца 2013 года установят около двухсот таксофонов, являющихся хотспотами Wi-Fi, сообщают «Известия» со ссылкой на представителя городского департамента информационных технологий. Радиус действия таксофонной точки доступа составит несколько десятков метров. Размер платы за услугу и скорость доступа в Интернет не уточняются. Ожидается, однако, что сайт госуслуг и ряд информационных порталов будут открываться бесплатно. В таксофонной будке, помимо точки доступа, разместятся автомат для оплаты госуслуг с устройством для приема банковских карт и наличных, справочник с картой города и схемой метро и универсальные зарядки для мобильных устройств.
27.05.2014
На выставке CES в этом году Google и NVIDIA сообщили о партнёрстве с General Motors, Honda, Audi и Hyundai в деле формирования открытого автомобильного альянса OAA. В изначальном анонсе деталей было не много — учредители рассказали лишь о ключевых принципах и цели представить Android для автомобильной электроники.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв