Поиск

USD/RUB: 63.23 EUR/RUB: 70.43 BTC/USD: 7250.4

13 : пятница

Интервью

Колонка эксперта

Новый Trojan.InstallCube.339 может быть загружен с файлообменных сайтов и поддельных торрент-трекеров

09.09.2015 15:50

Компания «Доктор Веб» вновь осветила деятельность одного из троянцев, предназначенных для скрытой установки на компьютеры различных приложений — Trojan.InstallCube.339. Как и многие другие установщики рекламных и нежелательных приложений, данная программа может быть загружена пользователями с различных файлообменных сайтов и поддельных торрент-трекеров, специально созданных злоумышленниками для распространения вредоносного ПО.

Размер троянца Trojan.InstallCube.339 в упакованном виде составляет порядка 3,5 Мб. После распаковки в памяти компьютера он заполняет часть имеющихся в его структуре данных информацией об управляющих серверах — вероятно, это сделано с целью затруднить анализ данной вредоносной программы. После этого троянец собирает сведения о компьютере, на котором он запущен, и демонстрирует на экране окно с индикатором процесса загрузки.

После получения данных с управляющего сервера Trojan.InstallCube.339 отображает диалоговое окно с информацией о загружаемом объекте, при этом окно имеет значок популярного торрент-клиента mTorrent. Особенность управляющих серверов данной вредоносной программы состоит в том, что они позволяют скачать полезную нагрузку только в том случае, если обращающийся к ним клиентский компьютер имеет российский IP-адрес.

При щелчке мышью по едва заметной ссылке Settings, расположенной в нижней части окна, пользователю демонстрируется список дополнительных программ, которые троянец установит на его компьютер. Обозначающие список данных приложений флажки являются неактивными, однако их можно сбросить в режиме «Выборочная установка».

Нажатие на кнопку «Сохранить» в предыдущем окне приводит к началу процесса загрузки требуемого пользователю файла и всех дополнительных программ. Перед завершением работы Trojan.InstallCube.339 удаляет себя.

Источник: @Astera