Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201315:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

11.03.2015
Здесь приведем универсальную инструкцию по подключению принтера по беспроводной сети WiFi.
17.04.2014
Компания Lenovo представила свои новые портативные комьютеры, функционирующие под управлением операционной системы Windows. Новинки под обозначениями B50, G50, Z40 и Z50 поступят в продажу в ближайшее время.
21.05.2014
Презентацию новых мобильных устройств компания Huawei совместила с показом женской коллекции одежды дизайнера Маши Цигаль. Представляя их, Алексей Громаков, директор по маркетингу Huawei Consumer Business Group в России, прежде всего отметил не технологические достоинства новых продуктов, а дизайн и камеры, приспособленные для создания популярных сейчас selfie — самостоятельно сделанных фотографий себя.
09.12.2013
Вчера на официальной странице жизненного цикла операционных систем (http://windows.microsoft.com/en-US/windows/products/lifecycle#section_2) дата окончания продаж Windows 7 изменилась с 30 октября 2013 года на «не определена». Возможно, конец эпохи откладывается. «Прекращение продаж означает дату, когда определенная версия Windows перестает отправляться в розничные точки продаж и OEM-сборщикам, – сказано в официальной таблице жизненного цикла операционных систем Microsoft.
28.03.2014
Компания LenovoEMC объявила о начале мировых продаж нового сетевого накопителя LenovoEMC px4-400d. По словам производителя, это высокопроизводительное настольное сетевое устройство с четырьмя отсеками обеспечивает улучшенную защиту данных, а также предлагает возможность совместного локального или удаленного использования контента с помощью операционной системы LenovoEMC LifeLine.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв