Троян выдал имя своего создателя | Ofisp.org

Троян выдал имя своего создателя

20 декабря 201314:20

Как сообщают исследователи антивирусной компании «Доктор Веб», они обнаружили троянское приложение, основной задачей которого является так называемый майнинг или генерации электронной валюты Bitcoin. Интерес экспертов к вирусу обусловлен тем фактом, что символьная информация, оставленная в модулях троянца, раскрывает имя разработчика, у которого злоумышленники заказали их разработку.

Эксперты сообщают, что это классический троянец-дроппер, написанный на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты.

В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, – tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org», а также страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe.

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По материалам пресс-релиза.

Похожие материалы

12.06.2013
Компания-разработчик антивирусного программного обеспечения Cezurity сообщила сегодня, что аккаунты не менее 50 000 пользователей социальной сети "ВКонтакте" подверглись хакерской атаке. Злоумышленники с помощью вредоносной программы Trojan.RpcTonzil смогли получить доступ не только к страницам участников соцсети, но и похитить их персональные данные.Вирус Trojan.RpcTonzil способен модифицировать запрос к DNS-серверу. При заходе в соцсеть пользователь попадает на специально созданную хакерами фальшивую страницу, имитирующую его персональную страничку "ВКонтакте". Здесь пользователь видит информацию, что его аккаунт был взломан. Далее система предлагает создать новый пароль и верифицировать привязку номера мобильного телефона к аккаунту в соцсети.
03.08.2013
Осенью у большинства жителей Соликамска появится возможность подключить Интернет на высоких скоростях. Горожане смогут скачивать любимые фильмы в высоком качестве HD за считанные минуты или смотреть их без пауз в режиме онлайн, забыв, что такое «подождать, пока загрузится». Это и многое другое станет возможным благодаря оснащению города новыми оптическими линиями компанией «Ростелеком». Проект стартовал сразу в нескольких городах Пермского края. Новая для Соликамска технология носит название GPON или волоконно-оптическая сеть.
01.06.2013
Японский интернет-провайдер «So-net Entertainment», принадлежащий корпорации Sony, запустил в Японии сверхбыструю оптоволоконную сеть Nuro, обеспечивающую скорость скачивания до 2 Гбит/сек и скорость загрузки до 1 Гбит/сек. Об этом сегодня сообщили официальные представители компании Sony. Подключить новый скоростной Интернет смогут жители Токио и шести близлежащих префектур. Абонентская плата за пользование новинкой будет не самой высокой и составит 4980 иен ($51) в месяц. Однако, в качестве обязательного условия, пользователям необходимо будет заключить двухгодичный контракт с провайдером и заплатить 52,5 тыс.
23.12.2013
Уровень не облагаемых таможенной пошлиной интернет-покупок предлагается снизить до 150 евро.
20.12.2014
Выбирая мобильный телефон, мы думаем о том, чтобы купить качественный, хорошо работающий аппарат. Наш телефон должен иметь хороший звук динамика, без перебоев работающую систему, качественную батарею, материал корпуса и так далее. Однако каждый человек может столкнуться с поддельным товаром. Неискушенному покупателю порой непросто отличить некачественную продукцию от оригинального бренда, тем более что на рынке сегодня около 20% подделок!

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв