Trojan.RoboInstall.1 - троян-установщик рекламных и нежелательных приложений


Trojan.RoboInstall.1 - троянская программа, предназначенная для установки рекламных и нежелательных приложений.

Вредонос написан на языке Delphi, не упакован. Собран в приложении RAD Studio XE3, содержит две динамические библиотеки для работы с OpenSSL.

Распространяется Trojan.RoboInstall.1 с использованием файлообменных сайтов, поддельных торрентов и иных аналогичных интернет-ресурсов, созданных злоумышленниками. Такие вредоносные программы очень часто используются программистами для монетизации своих бесплатных приложений. Т.е., они получают вознаграждение за каждую дополнительную утилиту, установленную подобным трояном на компьютеры пользователей.

После запуска на целевой машине, Trojan.RoboInstall.1 проверяет хранящуюся в его структурах конфигурационную информацию. В случае, если она повреждена или отсутствует, то на экране появится сообщение об ошибке:

Trojan.RoboInstall.1 oshibka prilojeniya

Адрес управляющего сервера хранится в конфигурационных данных Trojan.RoboInstall.1. На этот адрес троян отправляет POST-запрос, который содержит массив информации в формате JSON (JavaScript Object Notation), сжатый при помощи библиотеки ZLIB. В ответ он принимает информацию о загружаемых исполняемых файлах и настройках демонстрации флажков для отказа их установки.

В отличие от многих других установщиков рекламного ПО, в отображаемых Trojan.RoboInstall.1 диалоговых окнах такие флажки зачастую отсутствуют. Да и запуск на исполнение загружаемых трояном файлов осуществляется без каких-либо дополнительных условий.