Доктор Веб: ZIPPRO-архивы с новой начинкой — Trojan.Mayachok.1!

Hit WebКомпания "Доктор Веб" предупреждает о широком распространении Trojan.Mayachok.1, который скрывается в ZIPPRO-архивах якобы с популярными версиями ПО, расположенных на российских файлообменниках. Ранее жертва, скачавшая подобный архив и отправившая платное СМС-сообщение для его открытия, теряла только деньги. Теперь при открытии архива, жертвы также получает на свой компьютер опасный троян Trojan.Mayachok.1, а также популярный тулбар.

В феврале 2010 года специалисты компании "Доктор Веб" предупреждали пользователей о партнерской программе ZIPPRO, предлагающей сервис для генерации платных архивов с "обложками", максимально правдоподобно имитировавшими интерфейс оригинальных инсталляторов различных популярных программ.

Oblojki original install populyar prog

Генератор представляет собой программное приложение, в котором можно настроить итоговый визуальный стиль, предусмотреть различные варианты оплаты. Таким образом, злоумышленники могут вложить в архив любой мусор и получить за это деньги.

ZIPPRO

Такие архивы детектируются Dr.Web, как Trojan.SMSSend. Авторы этих архивов также не бездействуют, постоянно модифицируя и перепаковывая свои поделки. Об этом сообщается непосредственно с главной страницы ZIPPRO:

  • "первая и единственная партнерская программа на рынке с защитой от антивирусов".

ZIPPRO soobshenie

Скачав подобный архив и открыв его послав платное СМС-сообщение на короткий номер, пользователь не получал ровным счетом ничего. Зато партнер ZIPPRO получал свой процент от прибыли сервиса. Таким образом была построена целая бизнес-схема, в рамках которой доходность от распространяемых архивов обеспечивалась платными СМС, подписками на ненужные мобильные услуги и их вариациями.

Partnerskaya programma ZIPPRO

Впоследствии схема претерпела некоторые изменения. Наряду с описанным выше архивы от ZIPPRO тихо и незаметно начали устанавливать тулбар "Спутник@Mail.Ru". Интересно, что создатели ZIPPRO обещают распространять по такой схеме и браузер "Интернет@Mail.ru".

ZIPPRO toolbar

Из вышепредставленных таблиц видно, что "партнеры" ZIPPRO уж точно не бедствовали. Однако в погоне за высокими прибылями владельцы сервиса и партнерской сети пошли еще дальше. За спиной у своих "партнеров" они решили получить доход с установки и более серьезных вредоносных программ. На данный момент всем пользователям, скачавшим любой архив Trojan.SMSSend, кроме уже гарантированного тулбара от Mail.Ru, установят еще и Trojan.Mayachok.1. А "партнеры" собственными руками создают офлайн-ботнет для ZIPPRO.

По данным статистики лечащей утилиты Dr.Web CureIt!, лидирующие позиции в списке наиболее актуальных угроз за это лето занимает именно троян Trojan.Mayachok.1, подменяющий пользователям наиболее популярные сайты при подключении к Интернету.


Обновлено (16.08.2012 01:47)