-
добавить в избранное
Загружайте апельсины
16 апреля 2018
Ох как часто Trojan.LoadMoney вычищаем у
пользователей... Абсолютно все они не имеют
коммерческого антивируса либо стоит фри-балбес.
Из комментария к выпуску «Случайная» галочка
Вредоносные программы, похожие с точки зрения своего применения, в антивирусной классификации имеют общие имена, которые зачастую различаются лишь одной цифрой. Они принадлежат к одному семейству.
Наименование одного из семейств троянцев происходит от партнерской программы LoadMoney.ru.
Внимание! Доступ к данному ресурсу закрыт, поскольку он известен как распространитель вредоносных файлов.
По сути, этот ресурс – обычная рекламная «партнерка». Что это такое?
«Сервис» предлагает наладить установку пользователям программ, которые они не запрашивали. Его история уходит корнями в те времена, когда некоторые компании, распространяя свои приложения, не особо интересовались, нужно ли это пользователям.
В сети существует множество партнерских программ, предлагающих авторам бесплатного ПО и веб-мастерам подзаработать на установке пользователям дополнительных утилит, тулбаров и приложений.
Некоторое время назад специалисты компании «Доктор Веб» выявили факты распространения тулбара «Спутник@Mail.Ru» и браузера с феерическим названием «Интернет@Mail.ru» с использованием троянских программ Trojan.SMSSend.
Эти троянцы представляют собой архивы, требующие от пользователя при распаковке отправить платное SMS-сообщение на короткий номер.
Нередко в комплекте с программами от Mail.ru пользователи, скачавшие Trojan.SMSSend, получают и другие «полезные» приложения, например, опасного троянца Trojan.Mayachok.1, блокирующего доступ в Интернет и предлагающего жертве заплатить определенную сумму за разблокировку браузера.
Нередки случаи распространения программ «Спутник@Mail.Ru» и «Интернет@Mail.ru», когда в инсталлирующем их приложении либо отсутствуют, либо попросту спрятаны флажки, позволяющие отменить установку данных компонентов.
Известно, что у Mail.Ru Group имеется компания-партнер, которую они называют «крупнейшим в русскоязычном Интернете агрегатором download-трафика». В свою очередь, данный агрегатор владеет партнерской программой LoadMoney.Ru, с использованием которой пользователям раздается утилита «Загрузчик@Mail.Ru». Показанное на иллюстрации рекламное объявление говорит само за себя.
Однако с этим же «крупнейшим агрегатором» сотрудничают другие «независимые партнеры», распространяющие платные архивы и различное вредоносное ПО.
Дело было в сентябре 2012 года…
Начав с распространения браузера, через некоторое время партнерская программа стала «раздавать» и просто вредоносные приложения.
Дальше – больше. 2015 год:
Вредоносная программа-установщик Trojan.LoadMoney.336 создана вирусописателями для монетизации файлового трафика и использует в процессе своей работы следующий принцип. Потенциальная жертва злоумышленников отыскивает на принадлежащем им файлообменном сайте нужный файл и пытается его скачать. В этот момент происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется загрузка трояна Trojan.LoadMoney.336. После запуска троян обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл.
В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из интернета и запускаются на инфицированном компьютере, а также на рекламное и откровенно вредоносное ПО.
https://news.drweb.ru/show/?c=5&i=9572&lng=ru
http://safe.cnews.ru/news/line/trojan.loadmoney_sobiraet_i_peredaet
Характерным признаком программ-установщиков является функционал защиты от удаления – ведь они должны работать на зараженном компьютере долгое время.
После запуска троян выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить свое опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.
А если пользователь не хочет устанавливать дополнительное ПО? На этот случай предусмотрены хитрости:
На иллюстрации хорошо видно, что флажки, с помощью которых можно отключить устанавливаемые на компьютер пользователя компоненты, по умолчанию неактивны, однако третий из них при наведении на него курсора мыши неожиданно активизируется и позволяет сбросить первые два.
Прошло еще 3 года. Количество вариантов Trojan.LoadMoney перевалило за 3000. Теперь они тщательно скрываются:
Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
...
После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
Еще один характерный прием вирусописателей: чтобы не попасть в вирусные базы, вредоносный файл после выполнения задачи самоудаляется. И его можно использовать повторно.
А вот создатели Trojan.LoadMoney.3209, видимо, вдохновлялись примером охоты на зайцев. Для гарантии охотник стреляет из двух стволов, а зайцы запутывают свои следы.
В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
А чтобы «охота на зайцев» была невозможна, Trojan.LoadMoney.3558 пытается отключить Windows Defender.
Интересно, что при этом троянцы семейства LoadMoney сохраняют рудименты легитимной программы. Так, опции командной строки содержат аргумент --uninstall, по которому происходит удаление вредоносного сервиса.
Троян останавливает свой сервис (SvcHost Service Host) и убивает соответствующий процесс. Удаляет сервис из системы, рекурсивно удаляет %WINDIR%\Microsoft, удаляет свой ключ в реестре, хранилище args и самого себя. После этого завершает работу.
Насколько часто появляются новые образцы? Вот «улов» Dr.Web на 20 марта 2018 года:
Trojan.LoadMoney.2242 Trojan.LoadMoney.2723(2) Trojan.LoadMoney.3080(4) Trojan.LoadMoney.3190(11)
Trojan.LoadMoney.3830 Trojan.LoadMoney.3831 Trojan.LoadMoney.3832 Trojan.LoadMoney.3833
Trojan.LoadMoney.3834 Trojan.LoadMoney.3837 Trojan.LoadMoney.3838 Trojan.LoadMoney.3839
Trojan.LoadMoney.3840 Trojan.LoadMoney.3841 Trojan.LoadMoney.3842
Антивирусная правДА! рекомендует
Троянцы семейства Trojan.LoadMoney с 2012 года серьезно эволюционировали. Начав с установки простых рекламных тулбаров, впоследствии они научились отключать антивирусы (но не Dr.Web) и работать с памятью. Но и на этом их развитие не остановится: можно ожидать появления более серьезно защищенных образцов.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
10:56:52 2020-11-09
Денисенко Павел Андреевич
19:45:58 2018-07-30
денис
14:05:37 2018-04-23
a13x
16:35:54 2018-04-18
nahimovec
07:55:42 2018-04-18
эволюционирующих зловредов!
Людмила
15:34:49 2018-04-17
2. предложение 2 затрагивает самый болезненный вопрос существования человечества - справедливость... как соблюсти ее? как не ущемить права других? часто задача почти не решаемая и начинаешь думать: так может быть ее - справедливости - не существует? она просто тот недостижимый идеал, к которому надо пытаться стремиться и который достигнуть невозможно..
Людмила
15:26:06 2018-04-17
2. те, кто раньше пришлют работы, всегда будут получать больше голосов - их больше людей прочитают...
Любитель пляжного футбола
14:52:09 2018-04-17
Neith
11:31:05 2018-04-17
Людмила
07:19:31 2018-04-17
по вашим предложениям.
1. сделать работы анонимов (ведь виден только псевдоним) еще более анонимными?:) мне вообще в глобальном смысле идея анонимизации людей не нравится. нельзя отнимать у человека имя - это развязывает ему руки, провоцирует на то, что он под своим именем бы никогда не совершил.
Альтернативой может быть - пока сам не отправил свою работу, не можешь видеть работы других, а все работы сделаьт публичными после окончания конкурсного дня?
2. а что это даст?
B0RIS
04:35:30 2018-04-17
razgen
00:22:01 2018-04-17
Andromeda
23:02:51 2018-04-16
В...а
22:55:08 2018-04-16
Альфа
22:42:54 2018-04-16
ek
22:35:53 2018-04-16
Любитель пляжного футбола
22:30:44 2018-04-16
Любитель пляжного футбола
22:27:48 2018-04-16
@TeXNiK, хорошее дополнение, согласен. В принципе, я не смотрел другие варианты до опубликования своего, чтобы это не сбило с мысли. Только так придумаешь свой уникальный вариант перевода. Да и так честнее, по-моему.
eaglebuk
22:14:08 2018-04-16
Любитель пляжного футбола
22:11:09 2018-04-16
Всё-таки приятно осознавать, что защищён хорошим антивирусом. Конечно, всякое может быть, но Dr.Web за уже 4 года пока ни разу меня не подвёл. Повезло мне с выбором. И о многих проблемах, в т.ч. о тех, что описаны в этой статье, читаешь, так сказать, отвлечённо, просто из интереса, всё это вряд ли тебя коснётся, если, конечно, сам не примешь "необходимых" для этого мер. :)
Неуёмный Обыватель
22:01:16 2018-04-16
orw_mikle
21:27:10 2018-04-16
Damir
21:16:56 2018-04-16
Mehatronik
21:11:41 2018-04-16
НинаК
21:10:06 2018-04-16
duduka
21:07:18 2018-04-16
Lia00
20:59:21 2018-04-16
Шалтай Александр Болтай
20:53:24 2018-04-16
Геральт
20:45:05 2018-04-16
Littlefish
20:38:39 2018-04-16
Littlefish
20:32:17 2018-04-16
Убирают возможность отказаться от ненужного ПО, засоряют компьютеры пользователей и делают на этом деньги.
Dmur
20:32:02 2018-04-16
kva-kva
20:25:19 2018-04-16
razgen
20:14:02 2018-04-16
"Роскомнадзор добавил мессенджер Telegram в список заблокированных ресурсов.
Глава Роскомнадзора Александр Жаров заявил, что процесс блокировки займет несколько часов. Он также сообщил, что ведомство сегодня потребует от онлайн-магазинов AppStore и Google Play удалить приложение Telegram."
Подробнее здесь: https://www.kommersant.ru/doc/3605180
Masha
20:04:26 2018-04-16
Сергей
19:50:15 2018-04-16
razgen
19:49:40 2018-04-16
Marsn77
19:41:17 2018-04-16
tigra
19:08:14 2018-04-16
Toma
18:50:39 2018-04-16
mk.insta
17:49:17 2018-04-16
EvgenyZ
17:27:38 2018-04-16
zsergey
17:00:22 2018-04-16
La folle
16:05:09 2018-04-16
Alexander
15:13:24 2018-04-16
Считаю, что характеристика перевода как "слабый", "неточный" и т.п., в нашем случае будет неприемлемой с точки зрения цели, - расширения запаса слов, ассоциаций смыслов и понятий при использовании русского языка. Рейтинг перевода, на мой взгляд, не даст положительного эффекта для каждого участника проекта, но у кого-то стимул для дальнейших словесно-понятийных упражнений может уменьшиться.
Пример восприятия и формулировки понятия. Один скажет это - лошадь, другой возразит - конь, третий - лошак ... из хора голосов можно услышать еще много разных фонетических конструкций. И каждый будет прав по своему, и это притом, что все они смотрят на один и тот же объект.
Dvakota
14:32:56 2018-04-16
Дмитрий
13:33:10 2018-04-16
TV
13:21:35 2018-04-16
Alex_1774
13:18:30 2018-04-16
Sasha50
13:16:54 2018-04-16