Вирусным аналитикам корпорации «Доктор Веб» добро популярны вредные программы семейства — они постоянно находятся в «Топ-10» угроз, обнаруживаемых Антивирусом Dr.Web. К этой категории относятся разные инсталляторы, устанавливающие на комп жертвы сообща с требуемым ей же приложением разные доборные компоненты. впрочем некие трансформации владеют этак будто больше обрирными многофункциональными полномочиями — например, они имеют все шансы коллекционировать этак будто давать злодеям разную информацию об атакованном компьютере. Об одном из подобных троянцев, добавленных в вирусные основы Dr.Web под именованием , мы поведаем в подлинной статье.
Эта вредная программа-установщик, сотворенная вирусописателями для монетизации файлового трафика, употребляет в процессе собственной работы надлежащий принцип. возможная жертва злоумышленников ищет на принадлежащем им же файлообменном медиа-сайте важный файл этак будто старается его скачать. В данный минута происходит полуавтоматическое перенаправление юзера на промежуточный сайт, с коего на комп жертвы исполняется загрузка троянца . засим пуска троянец обращается на иной сервер, откуда он приобретает зашифрованный конфигурационный файл. В данном файле содержатся ссылки на разные партнерские приложения, коие тоже загружаются из веба этак будто запускаются на инфицированном компьютере, а уж уж уж уж тоже на маркетинговое этак будто открыто вредное ПО: так, вирусным аналитикам знаменито о том, будто загружает троянца , который, в свою очередь, скачивает этак будто , а уж уж уж уж собачиться загружает этак будто устанавливает на зараженной машине .
После пуска троянец делает линия манипуляций в системе, для того, чтобы облегчить личную работу этак будто затруднить свое опознание посреди остальных деятельных процессов. В частности, он воспрещает финал работы Windows, возвращая при попытке выключения персонального компьютера ошибку «Выполняется загрузка этак будто аппарат обновлений». засим успешной инициализации ждёт остановки курсора мыши, засим запускает две личные копии, а уж уж уж уж начальный файл удаляет.
Троянец коллекционирует на зараженном персональном персональном персональном персональном компьютере этак будто передает злодеям надлежащую информацию:
версия операционной системы;
сведения об поставленных антивирусах;
сведения об поставленных брандмауэрах;
сведения об установленном антишпионском ПО;
сведения о модели видеоадаптера;
сведения об объеме оперативной памяти;
данные о жестких дисках этак будто имеющихся на их разделах;
данные об ОЕМ-производителе ПК;
сведения о типе материнской платы;
сведения о разрешении экрана;
сведения о версии BIOS;
сведения о наличии прав админа у юзера текущей учетной записи Windows;
сведения о приложениях для открытия файлов *.torrent;
сведения о приложениях для открытия magnet-ссылок.
Затем обращается к своему управляющему серверу с GET-запросом этак будто приобретает от него зашифрованный ответ, содержащий ссылки для следующей загрузки файлов. их скачивание производится в отдельном потоке: троянец посылает на содержащий требуемые файлы сервер соответственный HEAD-запрос, и, в случае в случае коли тот возвращает ошибку 405 (Method Not Allowed) или же 501 (Not Implemented), на сервер отчаливает вторичный GET-запрос. в случае коли указанная в конфигурационных заданных гиперссылка на мотивированной файл как оказалось корректной, троянец извлекает информацию о длине файла этак будто его имени из ответа сервера, засим чего начинает загрузку приложения.
Помимо ссылок на загружаемые этак будто устанавливаемые ингридиенты зашифрованный конфигурационный файл содержит тоже знания о диалоговом окне, которое показывается юзеру перед их установкой.
На иллюстрации добро видно, будто флажки, с поддержкой коих можно выключить устанавливаемые на комп юзера компоненты, по умолчанию неактивны, впрочем третий из их при наведении на него курсора грызуны нежданно активируется этак будто разрешает свалить 1-ые два.
Помимо похожие схемы, дозволяющие злодеям жалованье на неприметной аппарате юзерам многочисленных ненужных программ, реализуют этак будто остальные партнерские программы. эксперты корпорации «Доктор Веб» напоминают о необходимости применять на персональном персональном персональном персональном компьютере современное антивирусное ПО, а уж уж уж уж тоже о том, будто юзерам надлежит проявлять осторожность этак будто закончить загружать какие-либо приложения с подозрительных сайтов.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости