Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Загружайте апельсины

Прочитали: 16525 Комментариев: 95 Рейтинг: 117

16 апреля 2018

Ох как часто Trojan.LoadMoney вычищаем у
пользователей... Абсолютно все они не имеют
коммерческого антивируса либо стоит фри-балбес.

Из комментария к выпуску «Случайная» галочка

Вредоносные программы, похожие с точки зрения своего применения, в антивирусной классификации имеют общие имена, которые зачастую различаются лишь одной цифрой. Они принадлежат к одному семейству.

Наименование одного из семейств троянцев происходит от партнерской программы LoadMoney.ru.

#drweb

Внимание! Доступ к данному ресурсу закрыт, поскольку он известен как распространитель вредоносных файлов.

#drweb

По сути, этот ресурс – обычная рекламная «партнерка». Что это такое?

#drweb

«Сервис» предлагает наладить установку пользователям программ, которые они не запрашивали. Его история уходит корнями в те времена, когда некоторые компании, распространяя свои приложения, не особо интересовались, нужно ли это пользователям.

В сети существует множество партнерских программ, предлагающих авторам бесплатного ПО и веб-мастерам подзаработать на установке пользователям дополнительных утилит, тулбаров и приложений.

Некоторое время назад специалисты компании «Доктор Веб» выявили факты распространения тулбара «Спутник@Mail.Ru» и браузера с феерическим названием «Интернет@Mail.ru» с использованием троянских программ Trojan.SMSSend.

Эти троянцы представляют собой архивы, требующие от пользователя при распаковке отправить платное SMS-сообщение на короткий номер.

Нередко в комплекте с программами от Mail.ru пользователи, скачавшие Trojan.SMSSend, получают и другие «полезные» приложения, например, опасного троянца Trojan.Mayachok.1, блокирующего доступ в Интернет и предлагающего жертве заплатить определенную сумму за разблокировку браузера.

Нередки случаи распространения программ «Спутник@Mail.Ru» и «Интернет@Mail.ru», когда в инсталлирующем их приложении либо отсутствуют, либо попросту спрятаны флажки, позволяющие отменить установку данных компонентов.

Известно, что у Mail.Ru Group имеется компания-партнер, которую они называют «крупнейшим в русскоязычном Интернете агрегатором download-трафика». В свою очередь, данный агрегатор владеет партнерской программой LoadMoney.Ru, с использованием которой пользователям раздается утилита «Загрузчик@Mail.Ru». Показанное на иллюстрации рекламное объявление говорит само за себя.

#drweb

Однако с этим же «крупнейшим агрегатором» сотрудничают другие «независимые партнеры», распространяющие платные архивы и различное вредоносное ПО.

https://www.dgl.ru/news/partnerskie-programmy-virusy-i-legalnye-utility-kaznit-nelzya-pomilovat_2393.html

Дело было в сентябре 2012 года…

Начав с распространения браузера, через некоторое время партнерская программа стала «раздавать» и просто вредоносные приложения.

Дальше – больше. 2015 год:

Вредоносная программа-установщик Trojan.LoadMoney.336 создана вирусописателями для монетизации файлового трафика и использует в процессе своей работы следующий принцип. Потенциальная жертва злоумышленников отыскивает на принадлежащем им файлообменном сайте нужный файл и пытается его скачать. В этот момент происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется загрузка трояна Trojan.LoadMoney.336. После запуска троян обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл.

В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из интернета и запускаются на инфицированном компьютере, а также на рекламное и откровенно вредоносное ПО.

https://news.drweb.ru/show/?c=5&i=9572&lng=ru

http://safe.cnews.ru/news/line/trojan.loadmoney_sobiraet_i_peredaet

Характерным признаком программ-установщиков является функционал защиты от удаления – ведь они должны работать на зараженном компьютере долгое время.

После запуска троян выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить свое опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.

А если пользователь не хочет устанавливать дополнительное ПО? На этот случай предусмотрены хитрости:

#drweb

На иллюстрации хорошо видно, что флажки, с помощью которых можно отключить устанавливаемые на компьютер пользователя компоненты, по умолчанию неактивны, однако третий из них при наведении на него курсора мыши неожиданно активизируется и позволяет сбросить первые два.

Прошло еще 3 года. Количество вариантов Trojan.LoadMoney перевалило за 3000. Теперь они тщательно скрываются:

Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.

...

После запуска исходный файл Trojan.LoadMoney.3263 удаляется.

https://news.drweb.ru/show/?i=11758

Еще один характерный прием вирусописателей: чтобы не попасть в вирусные базы, вредоносный файл после выполнения задачи самоудаляется. И его можно использовать повторно.

А вот создатели Trojan.LoadMoney.3209, видимо, вдохновлялись примером охоты на зайцев. Для гарантии охотник стреляет из двух стволов, а зайцы запутывают свои следы.

В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.

А чтобы «охота на зайцев» была невозможна, Trojan.LoadMoney.3558 пытается отключить Windows Defender.

Интересно, что при этом троянцы семейства LoadMoney сохраняют рудименты легитимной программы. Так, опции командной строки содержат аргумент --uninstall, по которому происходит удаление вредоносного сервиса.

Троян останавливает свой сервис (SvcHost Service Host) и убивает соответствующий процесс. Удаляет сервис из системы, рекурсивно удаляет %WINDIR%\Microsoft, удаляет свой ключ в реестре, хранилище args и самого себя. После этого завершает работу.

Насколько часто появляются новые образцы? Вот «улов» Dr.Web на 20 марта 2018 года:

Trojan.LoadMoney.2242 Trojan.LoadMoney.2723(2) Trojan.LoadMoney.3080(4) Trojan.LoadMoney.3190(11)
Trojan.LoadMoney.3830 Trojan.LoadMoney.3831 Trojan.LoadMoney.3832 Trojan.LoadMoney.3833
Trojan.LoadMoney.3834 Trojan.LoadMoney.3837 Trojan.LoadMoney.3838 Trojan.LoadMoney.3839
Trojan.LoadMoney.3840 Trojan.LoadMoney.3841 Trojan.LoadMoney.3842

#троянец

Антивирусная правДА! рекомендует

Троянцы семейства Trojan.LoadMoney с 2012 года серьезно эволюционировали. Начав с установки простых рекламных тулбаров, впоследствии они научились отключать антивирусы (но не Dr.Web) и работать с памятью. Но и на этом их развитие не остановится: можно ожидать появления более серьезно защищенных образцов.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: