Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201314:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

06.05.2013
Управление добросовестной конкуренции Великобритании начало расследование в отношении владельцев бесплатных игр, на которые дети тратят деньги своих родителей. Об этом сообщается на официальном сайте британского регулятора. Речь идет о размещаемых в Интернете бесплатных играх, где за активацию дополнительных функций требуется заплатить. Ранее сообщалось о массовых случаях, когда дети покупали дополнительные функции в приложениях и играх, оплачивая счета с кредитных карт своих родителей. В рамках расследования Управление добросовестной конкуренции Соединенного Королевства направило официальные запросы ряду компаний-владельцев бесплатных игр, в которых попросило разъяснить, на каких именно условиях осуществляется оплата дополнительных функций игр и применяются ли какие-то особые маркетинговые условия к покупателям-детям.
17.05.2013
В глобальной сети появились результаты масштабного исследования, посвященного пристрастиям и привычкам современных интернет-пользователей. После обработки анонимных данных, полученных от 25 миллионов пользователей из разных стран мира, организаторы пришли к достаточно предсказуемым выводам. По словам специалистов, наиболее распространенными на сегодняшний день типами сетевой активности являются общение в социальных сетях, развлечения и покупка товаров в «онлайне». Самой покупающей страной ученые назвали Великобританию, которой удалось оставить позади основных конкурентов – Северную Америку и Австралию. Интернет-шоппингу современные британцы посвящают до 10% всего времени, проводимого в сети.
05.05.2014
Приложение для платформы iOS Secret запустилось в Великобритании, Ирландии, Австралии и Новой Зеландии. Об этом сообщило издание The next web .
13.12.2013
Международная антивирусная компания Eset сообщила об обнаружении новой модификации банковского трояна Hesperbot, которая обладает возможностями по краже биткоинов (Bitcoin). Hesperbot представляет собой комплексную вредоносную программу для хищения информации с компьютера пользователя. Кроме этого, Hesperbot может заражать мобильные устройства, работающие под управлением Android, Symbian и Blackberry. В своем арсенале он содержит клавиатурный шпион, а также модуль для снятия скриншотов рабочего стола и захвата видео.
30.03.2014
Компания Asustor представила новую серию NAS-устройств AS 3. Серия NAS-устройств AS 3 предлагает мощные мультимедийные приложения с поддержкой воспроизведения видео высокого разрешения 1080p. По словам производителя, это первые решения в своем классе, оснащенные двухъядерными процессорами Intel Atom 1,6 ГГц с 1 ГБ оперативной памяти DDR3. Устройства новой серии – модель AS-302T с двумя отсеками для жестких дисков и модель AS-304T с четырьмя отсеками для жестких дисков.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв