Trojan.Ticno.1537 - троян-установщик нежелательного ПО и "неудаляемой" рекламы


Trojan.Ticno.1537 - троян, предназначенный для несанкционированной установки других приложений.

На атакуемый компьютер троян Trojan.Ticno.1537 загружается другой вредоносной программой. После своего запуска вредонос пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows. Также Trojan.Ticno.1537 проверяет:

  • идентификатор продукта Windows (Product ID);
  • имя пользователя и компьютера;
  • количество вложенных папок в директории Program Files;
  • наименование производителя BIOS;
  • присутствие в системе работающих процессов perl.exe или python.exe.


В случае успешной проверки, вредоносная программа запускает Проводник и завершает свою работу.

Если троян не смог обнаружить ничего подозрительного, то он сохраняет на диск файл с именем 1.zip.

Диалоговое окно сохранения файла Microsoft Windows

Trojan.Ticno.1537 Sohranenie files

Как видно из представленного изображения в левом нижнем углу располагается ссылка "Дополнительные параметры", при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере:

Trojan.Ticno.1537 Ustanovka programm

При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ.

Trojan.Ticno.1537 Zagruzka i ustanovka programm

Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы - браузер Amigo и программа HomeSearch @ Mail . ru разработки компании Mail.Ru, а также трояны:

  • Trojan.ChromePatch.1;
  • Trojan.Ticno.1548;
  • Trojan.BPlug.1590;
  • Trojan.Triosir.718;
  • Trojan.Clickmein.1;
  • Adware.Plugin.1400.


Trojan.ChromePatch.1 — это рекламный троян, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троян упакованы в единый установочный пакет.

Trojan.Ticno.1537 Ediniy ustanovochniy paket

Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием для того, чтобы в Chrome реклама отображалась даже после того, как троян будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы.