Trojan.LoadMoney.336 – устанавливает другие нежелательные программы


Trojan.LoadMoney.336 - новая модификация вредоносной программы семейства Trojan.LoadMoney, являющаяся приложением-установщиком других рекламных и откровенно вредоносных программ.

Распространяется данный вредонос на принадлежащих злоумышленникам файлообменных сайтах по следующему принципу. При попытке скачать какой-либо файл, пользователь автоматически перенаправляется на промежуточный сайт, с которого и осуществляется загрузка трояна Trojan.LoadMoney.336 на устройство жертвы. После запуска троянская программа обращается на другой сервер, откуда получает зашифрованный конфигурационный файл. Этот файл содержит ссылки на различные партнерские приложения, которые также загружаются из Интернета и запускаются на инфицированном компьютере. Кроме того из Интернета загружается также рекламное и откровенно вредоносное ПО, например:

  • Trojan.LoadMoney.336 - загружает трояна Trojan.LoadMoney.894. Он, в свою очередь, скачивает Trojan.LoadMoney.919 и Trojan.LoadMoney.915, а последний загружает и устанавливает на зараженной машине Trojan.Zadved.158.

При запуске троян Trojan.LoadMoney.336 проверяет наличие файлов:

  • %EXENAME%:tmp

и

  • %EXENAME%.tmp,

в случае возникновения проблем использует отладочные строки

  • "installer not found"

и

  • "error opening file installer file #"

Однако работает и без этих файлов. Для упрощения своего запуска и затруднения опознавания среди других действующих процессов, вредонос удаляет альтернативный поток Zone.Identifier. Кроме того, он запрещает завершение работы Windows через ShutdownBlockReasonCreate с причиной "Выполняется загрузка и установка обновлений". После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, после чего запускает две собственные копии, а исходный файл удаляет.

princip raboti trojan.loadmoney.336

Троян собирает на зараженном компьютере, а затем передает злоумышленникам следующую информацию:

  • версию операционной системы;
  • сведения об установленных антивирусах и брандмауэрах;
  • сведения об установленном антишпионском ПО;
  • сведения о модели видеоадаптера;
  • сведения об объеме оперативной памяти;
  • данные о жестких дисках и имеющихся на них разделах;
  • данные об ОЕМ-производителе ПК;
  • сведения о типе материнской платы;
  • сведения о разрешении экрана;
  • сведения о версии BIOS;
  • сведения о наличии прав администратора у пользователя текущей учетной записи Windows;
  • сведения о приложениях для открытия файлов *.torrent;
  • сведения о приложениях для открытия magnet-ссылок.


После сбора информации Trojan.LoadMoney.336 обращается к своему управляющему серверу с GET-запросом. В ответ вредонос получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов. Их скачивание выполняется в отдельном потоке. Так троян отправляет на содержащий требуемые файлы сервер соответствующий HEAD-запрос. В случае, если тот возвращает ошибку 405 (Method Not Allowed) или 501 (Not Implemented), на сервер отправляется повторный GET-запрос. Если указанная в конфигурационных данных ссылка на целевой файл оказывается корректной, тогда троян извлекает информацию из ответа сервера о длине файла и его имени, после чего начинает загрузку приложения.

Ответ сервера может содержать конфигурационные данные, которые включают сведения о диалоговом окне. При этом данное окно демонстрируется пользователю перед их установкой:

vredonosnaya zagruzka payload exe

На иллюстрации видно, что флажки, с помощью которых можно отключить устанавливаемые на компьютер пользователя компоненты, по умолчанию неактивны. Однако третий из них при наведении на него курсора мыши неожиданно активизируется и позволяет сбросить первые два.

{
    "checks":[
        {"b":[{
            "l":"http://sputnikmailru.cdnmail.ru/mailruhomesearchvbm.exe?rfr=profitraf1|http://****.ru/homesearch.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b|http://****.ru/homesearch.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b",
            "a":"--silent --without-updater --rfr=profitraf1 --partner_homepage=http://****.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&ext_partner_id=&did=2199397647&start=1&label=profitraf1 --mpcln=9516 --partner_dse=http://****.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&did=2199397647&search=1&ext_partner_id=&label=profitraf1 /partner_vbm=http://***.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&did=2199397647&visualbookmarks=1&ext_partner_id=&label=profitraf1 --partner_toolbar=http://****.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&did=2199397647&toolbar=1&ext_partner_id=&label=profitraf1",
            "r":"HKEY_CURRENT_USER\\Software\\Mail.Ru\\homesearch\\nb_lifetime|1438100243"
            }],
        "y":201,
        "x":60
        },
        {"b":[{
            "l":"http://****.ru/AmigoDistrib.exe?rfr=blackbear1|http://****.ru/amigo.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b|http://****.ru/amigo.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b",
            "a":"--silent --rfr=blackbear1 --ua_rfr=CHANNEL_blackbear1 --make-default=1 --partner_new_url=http:// ******.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&hsig=$__HWSIG&ovr=$__OVR&file_id=69643849&ext_partner_id=&did=2199397647&amigo=1&label=blackbear1",
            "r":"HKEY_CURRENT_USER\\Software\\Microsoft\\Amigo\\nb_lifetime|1438100243"
            }],
        "y":216,
        "x":60}
    ],
    "download":{"t":"BUTTON"},
    "expand":{
        "normal":[{"s":268436482,"x":60,"y":231,"w":13},{"s":402654210,"x":60,"y":231,"w":13},{"t":"STATIC","s":402653184,"c":"Стандартные параметры","x":75,"y":230},{"c":"Установить стартовую страницу и поиск @mail.ru","t":"STATIC","s":402653184,"x":75,"y":200},{"x":60,"y":201,"s":402654211,"w":13},{"c":"Установить браузер Амиго и сделать его основным","t":"STATIC","s":402653184,"x":75,"y":215},{"x":60,"y":216,"s":402654211,"w":13}],
        "expand":[{"t":"STATIC","s":268435472,"w":419,"h":2,"x":0,"y":169},{"t":"SysLink","c":"Установить стартовую страницу и поиск @mail.ru","y":200,"x":75},{"t":"SysLink","c":"Установить браузер Амиго и сделать его основным","y":215,"x":75}],
        "h":256
    },
    "h":256,
    "open":{
        "t":""
    }
}


Помимо сбора сведений об инфицированной системе троян проверяет также наличие на компьютере других вредоносных программ, таких как Trojan.BPlug.116 и Trojan.Triosir.