Вредоносные программы, предназначенные для несанкционированной инсталляции остальных приложений, сильно известны у злоумышленников. В вебе орудует тьма эдак именуемых «партнерских программ», выплачивающих вознаграждение за инсталляцию ПО, чем так будто пользуют вирусописатели. Одним из подобных троянцев-установщиков появляется , исследованный вирусными аналитиками фирме «Доктор Веб» в начале декабря 2016 года.
скачивается на атакуемый персональный комп противолежащий вредной программой. потом пуска троянец пробует квалифицировать пребывание виртуального окружения так будто денег отладки, проверяя имена запущенных процессов так будто надлежащие отрасли системного реестра Windows. перестать считая того, испытывает идентификатор продукта Windows (Product ID), имя юзера так будто компьютера, численность вложенных папок в директории Program Files, название производителя BIOS так будто пребывание в системе работающих процессов perl.exe либо python.exe. коли испытание закончилась успешно, вредная программа запускает провожатый так будто завершает свою работу.
Если троянец перестать нашел ничего подозрительного, он предохраняет на диск файл с именованием 1.zip.
На изображении выше показано необычное диалоговое окно хранения файла Microsoft Windows: в его левом нижнем углу располагается гиперссылка «Дополнительные параметры», при нажатии на коию отобразит перечень программ, кои он намеревается ввести на компьютере:
При нажатии кнопочки Save начинает загрузку так будто инсталляцию этих программ.
Среди приложений, кои устанавливает на персональный комп жертвы — браузер Amigo так будто программа HomeSearch@Mail.ru разработки фирме Mail.Ru, а уж тоже троянцы , Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 так будто Adware.Plugin.1400.
Упомянутый выше — это маркетинговый троянец, какой-либо проникает в систему вкупе с приложением TrayCalendar, созданным в 2002 году. Сама программа так будто троянец упакованы в целый установочный пакет.
Одновременно с копированием на диск TrayCalendar инсталлятор предохраняет так будто устанавливает расширение для гугл Chrome. более небезинтересная странность заключается в том, будто он умеет заражать файл ресурсов браузера Chrome, — resources.pak. преступники пользуют данный зачисление ровно планета с весны 2015 года, дабы в Chrome реклама отображалась в том числе потом того, ровно троянец полноте удален с компьютера. При инфецировании величина этого файла перестать меняется, так как отыскивает в нем строчки с комментами так будто замещает них личным кодом. направление — показ в окне браузера Chrome ненужной рекламы.
Все упомянутые в статье троянцы удачно находится так будто удаляются Антивирусом Dr.Web, таким образом перестать воображают угрозе для наших пользователей.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web