Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201315:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

25.11.2014
Если ваша жизнь связана с интернет-торговлей или коммерцией, то вам наверняка известно такое понятие, как интернет-реклама. Это главный инструмент интернет-маркетинга, который при правильном использовании способен приносить огромные объемы прибыли для своего заказчика (собственника). Но, как показывает практика, с основами работы и отслеживания показателей эффективности работы интернет-рекламы мало кто знаком, поэтому наша Академия «WebPromoExperts» запустила новый курс лекций, который получил название «Веб-аналитика. Отслеживание эффективности интернет-рекламы». 
25.09.2013
После презентации очередных дорогих мобильных суперновинок компании Apple, многие люди, которые купили себе эти гаджеты, стали сожалеть о содеянном.Во всех СМИ начали писать, что теперь всех обладателей этих телефоном с легкостью можно проследить с помощью ранее установленной программы.
25.04.2014
На этой неделе IBM представила первые серверы OpenPOWER, созданные по инициативе одноимённого отраслевого альянса. Кроме самой IBM, в него вошли Google, Nvidia и другие компании, делающие ставку на открытость и специализированные решения для высокопроизводительных вычислений. Основой серверов стали процессоры Power8, анонсированные в августе прошлого года на конференции Hot Chips.
06.04.2016
На сегодняшний день возможности заработка в интернете не могут не радовать – практически каждый может найти дополнительный доход или даже полностью перейти на работу в сети. Что для этого нужно? Главное, чтобы был хороший надежный интернет, а без провайдера здесь не обойтись. И вот какая незадача – все бы хорошо, но некоторые виды заработка онлайн могут быть недоступны из-за недоразумений или правил поставщиков интернета. Тогда как чисто технические вопросы по подключению к внутренней рабочей сети с вашим провайдером могут быть быстро решены в вашу пользу, то с блокировкой отдельных сайтов (а ведь они вам нужны для работы!) дело может обстоять куда серьезнее и сложнее.
20.12.2013
Около 50% россиян в 2014 г. планируют приобрести телефон с поддержкой LTE и начать использование этого стандарта связи. В то же время 28% жителей России не желают пользоваться смартфонами и купят в будущем году обычный мобильный телефон. Таковы результаты международного исследования потребительских предпочтений в сфере мобильных коммуникаций, подготовленного компанией Deloitte. Однако потенциальные клиенты слабо информированы российскими операторами связи о доступных предложениях, отмечают аналитики.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв