Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201315:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

11.09.2013
«Доктор Веб» предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 – выполнение поступающих от злоумышленников команд, и, главное, – перехват нажимаемых пользователем клавиш (кейлоггинг). Проникнув на инфицируемый компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC).
28.03.2014
Отечественный рынок источников бесперебойного питания переживает не лучшие времена. В прошлом году, по данным ITResearch, его объем в денежном выражении сократился на 9%. Пора масштабных поставок оборудования для таких проектов, как создание инфраструктуры олимпийских объектов, прошла. Производителям ИБП приходится заново учиться работать в условиях теряющей темп экономики, рассчитывая на проектный и дистрибьюторский бизнес. К таким поставщикам ИБП относится и американская компания Tripp Lite. В начале 2009 года она вторично вышла на российский рынок (см.
29.07.2013
Полиция Японии арестовала девятерых человек, которые подозреваются в распространении вредоносного ПО – Enesoluty, ориентированного на пользователей Android-устройств. С его помощью злоумышленники похищали контактную информацию пользователей и использовали ее на поддельном сайте знакомств. В результате мошеннической деятельности подозреваемым удалось заработать около $4 млн. Злоумышленников удалось задержать благодаря сотрудничеству полиции и специалистов компании Symantec.
27.01.2014
 Каждый компьютерный любитель, хотя бы раз в жизни мечтал приобрести себе Makbook, который в корне отличается от привычных нам компьютерных систем.
17.07.2014
Проводя в собственный дом интернет, нужно основательно подойти к выбору провайдера – поставщика услуг, так как именно от него зависит качество и надежность соединения, а также финансовые затраты на его услуги. Собственно, стоимость провайдерских услуг – самый важный критерий выбора, однако следует заранее уберечься от распространенной ошибки, когда пользователь за малую плату получает медленный интернет-трафик или вообще постоянные обрывы связи.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв