Вредоносные программы, предназначенные для несанкционированной инсталляции альтернативных приложений, больно известны у злоумышленников. В вебе орудует вагон этак именуемых «партнерских программ», выплачивающих вознаграждение за инсталляцию ПО, чем так словно применяют вирусописатели. Одним из подобных троянцев-установщиков появляется , исследованный вирусными аналитиками фирме «Доктор Веб» в начале декабря 2016 года.
скачивается на атакуемый комп противоположный вредной программой. потом пуска троянец старается назначить наличие виртуального окружения так словно денег отладки, проверяя имена запущенных процессов так словно соответственные отрасли системного реестра Windows. за исключением того, инспектирует идентификатор продукта Windows (Product ID), имя юзера так словно компьютера, число вложенных папок в директории Program Files, название производителя BIOS так словно наличие в системе работающих процессов perl.exe или же python.exe. в случае в случае если испытание закончилась успешно, вредная программа запускает вожатый так словно завершает свою работу.
Если троянец не делать делать делать нашел ничего подозрительного, он предохраняет на диск файл с именованием 1.zip.
На изображении выше показано необычное диалоговое окно хранения файла Microsoft Windows: в его левом нижнем углу располагается гиперссылка «Дополнительные параметры», при нажатии на коию отобразит перечень программ, коие он намеревается ввести на компьютере:
При нажатии кнопочки Save начинает загрузку так словно инсталляцию этих программ.
Среди приложений, коие устанавливает на комп жертвы — браузер Amigo так словно программа HomeSearch@Mail.ru разработки фирме Mail.Ru, а уж тоже троянцы , Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 так словно Adware.Plugin.1400.
Упомянутый выше — это маркетинговый троянец, кой проникает в систему друг с другом с приложением TrayCalendar, созданным в 2002 году. Сама программа так словно троянец упакованы в единственный установочный пакет.
Одновременно с копированием на диск TrayCalendar инсталлятор предохраняет так словно устанавливает расширение для гугл Chrome. более увлекательная странность заключается в том, словно он умеет заражать файл ресурсов браузера Chrome, — resources.pak. преступники применяют данный зачисление словно только совет с весны 2015 года, дабы в Chrome реклама отображалась в том числе так что потом того, словно только троянец станет удален с компьютера. При инфецировании размеры этого файла не делать делать делать меняется, так как отыскивает в нем строчки с комментами так словно замещает них личным кодом. предначертание — показ в окне браузера Chrome ненужной рекламы.
Все упомянутые в статье троянцы благополучно находится так словно удаляются Антивирусом Dr.Web, оттого не делать делать делать воображают угрозы для наших пользователей.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web