Нескоторое время назад сообщалось
о том, что антивирусная компания «Доктор Веб» обнаружила, что
организаторы партнерской программы ZIPPRO начали распространять вместе с
платными архивами вредоносное ПО. Дальнейшие исследования показали:
злоумышленники не просто включают в состав своих архивов вредоносные
программы, а используют для их загрузки собственного троянца, который,
инфицировав компьютер пользователя, позволяет скачивать с удаленных
серверов другие опасные приложения.
Мониторинг серверов
партнерской программы ZIPPRO показал, что, помимо уже упомянутого ранее
Trojan.Mayachok.1, пользователи, скачивающие платные архивы, получают в
качестве «бесплатного дополнения» и другие вредоносные приложения. Среди
них — существующее с 2011 года семейство троянцев, известное под общим
именем Trojan.Zipro, авторами которых являются организаторы партнерской
программы ZIPPRO.
При открытии архива Trojan.SMSSend, созданного с
использованием программного обеспечения ZIPPRO, происходит загрузка
зашифрованного и сжатого исполняемого файла, который запускается в
момент прекращения работы основного модуля Trojan.SMSSend.
Запущенное
в инфицированной системе приложение пытается загрузить в память
компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже
загруженный в память модуль начитает установку троянца в операционной
системе: модифицирует системный реестр, создавая ветвь
HKCU\SOFTWARE\Win32ServiceApp и сохраняя туда ряд конфигурационных
параметров, записывает на диск файл троянской программы, регистрирует
путь к нему в ветви реестра, отвечающей за автоматическую загрузку
приложений, и запускает троянца на исполнение. При этом вредоносная
программа не устанавливается в операционной системе, если в ней уже
установлен конструктор платных архивов ZIPPRO.
Запустившись в
операционной системе, Trojan.Zipro читает из реестра собственные
конфигурационные данные, устанавливает соединение с принадлежащим
злоумышленникам удаленным сервером и скачивает оттуда вредоносное
приложение — среди таковых был замечен не только упомянутый ранее
Trojan.Mayachok.1. На тех же серверах, с которых осуществляется загрузка
этого вредоносного приложения, был обнаружен опасный банковский троянец
семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro
запускает скачанную вредоносную программу. Если попытка загрузить
вредоносное приложение с удаленного сайта не удалась, троянец удаляет
себя из системы.
Если вы стали жертвой злоумышленников,
распространяющих созданные с помощью партнерской программы ZIPPRO
приложения Trojan.SMSSend, компания «Доктор Веб» рекомендует вам
обратиться в региональный отдел полиции с заявлением об уголовном
преступлении, связанном с созданием и распространением партнерской
программой ZIPPRO вредоносного программного обеспечения.
|
Главная 
