Загружайте апельсины
16 апреля 2018
Ох как часто Trojan.LoadMoney вычищаем у
пользователей... Абсолютно все они не имеют
коммерческого антивируса либо стоит фри-балбес.
Из комментария к выпуску «Случайная» галочка
Вредоносные программы, похожие с точки зрения своего применения, в антивирусной классификации имеют общие имена, которые зачастую различаются лишь одной цифрой. Они принадлежат к одному семейству.
Наименование одного из семейств троянцев происходит от партнерской программы LoadMoney.ru.
Внимание! Доступ к данному ресурсу закрыт, поскольку он известен как распространитель вредоносных файлов.
По сути, этот ресурс – обычная рекламная «партнерка». Что это такое?
«Сервис» предлагает наладить установку пользователям программ, которые они не запрашивали. Его история уходит корнями в те времена, когда некоторые компании, распространяя свои приложения, не особо интересовались, нужно ли это пользователям.
В сети существует множество партнерских программ, предлагающих авторам бесплатного ПО и веб-мастерам подзаработать на установке пользователям дополнительных утилит, тулбаров и приложений.
Некоторое время назад специалисты компании «Доктор Веб» выявили факты распространения тулбара «Спутник@Mail.Ru» и браузера с феерическим названием «Интернет@Mail.ru» с использованием троянских программ Trojan.SMSSend.
Эти троянцы представляют собой архивы, требующие от пользователя при распаковке отправить платное SMS-сообщение на короткий номер.
Нередко в комплекте с программами от Mail.ru пользователи, скачавшие Trojan.SMSSend, получают и другие «полезные» приложения, например, опасного троянца Trojan.Mayachok.1, блокирующего доступ в Интернет и предлагающего жертве заплатить определенную сумму за разблокировку браузера.
Нередки случаи распространения программ «Спутник@Mail.Ru» и «Интернет@Mail.ru», когда в инсталлирующем их приложении либо отсутствуют, либо попросту спрятаны флажки, позволяющие отменить установку данных компонентов.
Известно, что у Mail.Ru Group имеется компания-партнер, которую они называют «крупнейшим в русскоязычном Интернете агрегатором download-трафика». В свою очередь, данный агрегатор владеет партнерской программой LoadMoney.Ru, с использованием которой пользователям раздается утилита «Загрузчик@Mail.Ru». Показанное на иллюстрации рекламное объявление говорит само за себя.
Однако с этим же «крупнейшим агрегатором» сотрудничают другие «независимые партнеры», распространяющие платные архивы и различное вредоносное ПО.
Дело было в сентябре 2012 года…
Начав с распространения браузера, через некоторое время партнерская программа стала «раздавать» и просто вредоносные приложения.
Дальше – больше. 2015 год:
Вредоносная программа-установщик Trojan.LoadMoney.336 создана вирусописателями для монетизации файлового трафика и использует в процессе своей работы следующий принцип. Потенциальная жертва злоумышленников отыскивает на принадлежащем им файлообменном сайте нужный файл и пытается его скачать. В этот момент происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется загрузка трояна Trojan.LoadMoney.336. После запуска троян обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл.
В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из интернета и запускаются на инфицированном компьютере, а также на рекламное и откровенно вредоносное ПО.
https://news.drweb.ru/show/?c=5&i=9572&lng=ru
http://safe.cnews.ru/news/line/trojan.loadmoney_sobiraet_i_peredaet
Характерным признаком программ-установщиков является функционал защиты от удаления – ведь они должны работать на зараженном компьютере долгое время.
После запуска троян выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить свое опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.
А если пользователь не хочет устанавливать дополнительное ПО? На этот случай предусмотрены хитрости:
На иллюстрации хорошо видно, что флажки, с помощью которых можно отключить устанавливаемые на компьютер пользователя компоненты, по умолчанию неактивны, однако третий из них при наведении на него курсора мыши неожиданно активизируется и позволяет сбросить первые два.
Прошло еще 3 года. Количество вариантов Trojan.LoadMoney перевалило за 3000. Теперь они тщательно скрываются:
Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
...
После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
Еще один характерный прием вирусописателей: чтобы не попасть в вирусные базы, вредоносный файл после выполнения задачи самоудаляется. И его можно использовать повторно.
А вот создатели Trojan.LoadMoney.3209, видимо, вдохновлялись примером охоты на зайцев. Для гарантии охотник стреляет из двух стволов, а зайцы запутывают свои следы.
В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
А чтобы «охота на зайцев» была невозможна, Trojan.LoadMoney.3558 пытается отключить Windows Defender.
Интересно, что при этом троянцы семейства LoadMoney сохраняют рудименты легитимной программы. Так, опции командной строки содержат аргумент --uninstall, по которому происходит удаление вредоносного сервиса.
Троян останавливает свой сервис (SvcHost Service Host) и убивает соответствующий процесс. Удаляет сервис из системы, рекурсивно удаляет %WINDIR%\Microsoft, удаляет свой ключ в реестре, хранилище args и самого себя. После этого завершает работу.
Насколько часто появляются новые образцы? Вот «улов» Dr.Web на 20 марта 2018 года:
Trojan.LoadMoney.2242 Trojan.LoadMoney.2723(2) Trojan.LoadMoney.3080(4) Trojan.LoadMoney.3190(11)
Trojan.LoadMoney.3830 Trojan.LoadMoney.3831 Trojan.LoadMoney.3832 Trojan.LoadMoney.3833
Trojan.LoadMoney.3834 Trojan.LoadMoney.3837 Trojan.LoadMoney.3838 Trojan.LoadMoney.3839
Trojan.LoadMoney.3840 Trojan.LoadMoney.3841 Trojan.LoadMoney.3842
Антивирусная правДА! рекомендует
Троянцы семейства Trojan.LoadMoney с 2012 года серьезно эволюционировали. Начав с установки простых рекламных тулбаров, впоследствии они научились отключать антивирусы (но не Dr.Web) и работать с памятью. Но и на этом их развитие не остановится: можно ожидать появления более серьезно защищенных образцов.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
10:56:52 2020-11-09
Денисенко Павел Андреевич
19:45:58 2018-07-30
денис
14:05:37 2018-04-23
a13x
16:35:54 2018-04-18
nahimovec
07:55:42 2018-04-18
эволюционирующих зловредов!
Людмила
15:34:49 2018-04-17
2. предложение 2 затрагивает самый болезненный вопрос существования человечества - справедливость... как соблюсти ее? как не ущемить права других? часто задача почти не решаемая и начинаешь думать: так может быть ее - справедливости - не существует? она просто тот недостижимый идеал, к которому надо пытаться стремиться и который достигнуть невозможно..
Людмила
15:26:06 2018-04-17
2. те, кто раньше пришлют работы, всегда будут получать больше голосов - их больше людей прочитают...
Любитель пляжного футбола
14:52:09 2018-04-17
Neith
11:31:05 2018-04-17
Людмила
07:19:31 2018-04-17
по вашим предложениям.
1. сделать работы анонимов (ведь виден только псевдоним) еще более анонимными?:) мне вообще в глобальном смысле идея анонимизации людей не нравится. нельзя отнимать у человека имя - это развязывает ему руки, провоцирует на то, что он под своим именем бы никогда не совершил.
Альтернативой может быть - пока сам не отправил свою работу, не можешь видеть работы других, а все работы сделаьт публичными после окончания конкурсного дня?
2. а что это даст?
B0RIS
04:35:30 2018-04-17
razgen
00:22:01 2018-04-17
Andromeda
23:02:51 2018-04-16
В...а
22:55:08 2018-04-16
Альфа
22:42:54 2018-04-16
ek
22:35:53 2018-04-16
Любитель пляжного футбола
22:30:44 2018-04-16
Любитель пляжного футбола
22:27:48 2018-04-16
@TeXNiK, хорошее дополнение, согласен. В принципе, я не смотрел другие варианты до опубликования своего, чтобы это не сбило с мысли. Только так придумаешь свой уникальный вариант перевода. Да и так честнее, по-моему.
eaglebuk
22:14:08 2018-04-16
Любитель пляжного футбола
22:11:09 2018-04-16
Всё-таки приятно осознавать, что защищён хорошим антивирусом. Конечно, всякое может быть, но Dr.Web за уже 4 года пока ни разу меня не подвёл. Повезло мне с выбором. И о многих проблемах, в т.ч. о тех, что описаны в этой статье, читаешь, так сказать, отвлечённо, просто из интереса, всё это вряд ли тебя коснётся, если, конечно, сам не примешь "необходимых" для этого мер. :)
Неуёмный Обыватель
22:01:16 2018-04-16
orw_mikle
21:27:10 2018-04-16
Damir
21:16:56 2018-04-16
Mehatronik
21:11:41 2018-04-16
НинаК
21:10:06 2018-04-16
duduka
21:07:18 2018-04-16
Lia00
20:59:21 2018-04-16
Шалтай Александр Болтай
20:53:24 2018-04-16
Геральт
20:45:05 2018-04-16
Littlefish
20:38:39 2018-04-16
Littlefish
20:32:17 2018-04-16
Убирают возможность отказаться от ненужного ПО, засоряют компьютеры пользователей и делают на этом деньги.
Dmur
20:32:02 2018-04-16
kva-kva
20:25:19 2018-04-16
razgen
20:14:02 2018-04-16
"Роскомнадзор добавил мессенджер Telegram в список заблокированных ресурсов.
Глава Роскомнадзора Александр Жаров заявил, что процесс блокировки займет несколько часов. Он также сообщил, что ведомство сегодня потребует от онлайн-магазинов AppStore и Google Play удалить приложение Telegram."
Подробнее здесь: https://www.kommersant.ru/doc/3605180
Masha
20:04:26 2018-04-16
Сергей
19:50:15 2018-04-16
razgen
19:49:40 2018-04-16
Marsn77
19:41:17 2018-04-16
tigra
19:08:14 2018-04-16
Toma
18:50:39 2018-04-16
mk.insta
17:49:17 2018-04-16
EvgenyZ
17:27:38 2018-04-16
zsergey
17:00:22 2018-04-16
La folle
16:05:09 2018-04-16
Alexander
15:13:24 2018-04-16
Считаю, что характеристика перевода как "слабый", "неточный" и т.п., в нашем случае будет неприемлемой с точки зрения цели, - расширения запаса слов, ассоциаций смыслов и понятий при использовании русского языка. Рейтинг перевода, на мой взгляд, не даст положительного эффекта для каждого участника проекта, но у кого-то стимул для дальнейших словесно-понятийных упражнений может уменьшиться.
Пример восприятия и формулировки понятия. Один скажет это - лошадь, другой возразит - конь, третий - лошак ... из хора голосов можно услышать еще много разных фонетических конструкций. И каждый будет прав по своему, и это притом, что все они смотрят на один и тот же объект.
Dvakota
14:32:56 2018-04-16
Дмитрий
13:33:10 2018-04-16
TV
13:21:35 2018-04-16
Alex_1774
13:18:30 2018-04-16
Sasha50
13:16:54 2018-04-16