Несколько дней вспять фирма «Доктор Веб» — отечественный разработчик денег информационной безопасности — о том, чисто устроители партнерской программы ZIPPRO начали разносить сообща с платными архивами вредное ПО. последующие научные исследования показали: преступники перестать делать легко включают в состав своих архивов вредные программы, для их загрузки они применяют личного троянца, который, инфицировав комп пользователя, дозволяет скачивать с удаленных серверов иные небезопасные приложения.
Мониторинг серверов партнерской программы ZIPPRO показал, что, кроме уже упомянутого раньше Trojan.Mayachok.1, пользователи, скачивающие платные архивы, приобретают в качестве «бесплатного дополнения» так словно иные вредные приложения. между их — существующее с 2011 годы дом троянцев, знаменитое под общим именованием Trojan.Zipro, создателями коих появляются устроители партнерской программы ZIPPRO.
При открытии архива Trojan.SMSSend, сотворенного с применением программного снабжения ZIPPRO, происходит загрузка зашифрованного так словно сжатого исполняемого файла, какой запускается в пора прекращения работы главного модуля Trojan.SMSSend.
На приведенных выше иллюстрациях видно, чисто нужная нагрузка скачивается с конкретного IP-адреса. элементарная испытание указывает Атрибут этого адреса к партнерской программе ZIPPRO, чисто несомненно доказывает авторство заданного троянца.
Еще одним доказательством авторства служит то обстоятельство, чисто при попытке адресоваться к этому айпишнику в браузере раскрывается интернет-страница партнерской программы ZIPPRO.
Запущенное в инфицированной системе приложение пробует нагрузить в память персонального компьютера динамическую библиотеку, содержащую Trojan.Zipro. потом уже загруженный в память модуль начитает инсталляцию троянца в операционной системе: трансформирует системный реестр, формируя отрог HKCUSOFTWAREWin32ServiceApp так словно храня туда пробор конфигурационных параметров, записывает на диск файл троянской программы, индексирует стезя к нему в отрасли реестра, отвечающей за самодействующую загрузку приложений, так словно запускает троянца на исполнение. При конкретно в этом вредная программа перестать делать монтируется в операционной системе, коли в ней уже установлен архитектор платных архивов ZIPPRO.
Запустившись в операционной системе, Trojan.Zipro читает из реестра личные конфигурационные данные, устанавливает сплетение с принадлежащим злодеям удаленным сервером так словно скачивает оттуда вредное приложение — между этаких был увиден перестать делать едва-лишь упомянутый раньше Trojan.Mayachok.1. На тех же серверах, с коих исполняется загрузка этого вредного приложения, был найден критический банковский троянец семейства Trojan.Carberp. позднее завершения загрузки Trojan.Zipro запускает скачанную вредоносную программу. коли попытка нагрузить вредное приложение с удаленного интернет-сайта перестать делать удалась, троянец удаляет себя из системы. На нынешний денек специалистам фирмы «Доктор Веб» естественно крошку трансформаций Trojan.Zipro, сигнатуры коих добавлены в основы Dr.Web.
Компания «Доктор Веб» опять однажды припоминает пользователям: загрузка платных архивов, детектируемых антивирусным ПО словно Trojan.SMSSend, дьявольски опасна, ведь заражение альтернативными вредоносными программами множить случится уже в пора пуска того приложения, в том числе так что коли юзер за один присест закроет окно платного архива. юзерам рекомендуется скачивать программное снабжение едва-лишь из проверенных источников, подобных как, например, официальные веб-сайты разработчиков ПО. коли вы стали жертвой злоумышленников, распространяющих сотворенные с поддержкой партнерской программы ZIPPRO приложения Trojan.SMSSend, фирма «Доктор Веб» советует для вас адресоваться в региональный отдел милиции с заявлением об уголовном преступлении, связанном с изготовлением так словно распространением партнерской программой ZIPPRO вредного программного обеспечения.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web