Trojan.Zipro в подарок к скачаному архиву


Несколько дней назад компания "Доктор Веб" сообщала о распространении вместе с платными архивами вредоносное ПО. Детальные исследования показали, что злоумышленники не просто включают в состав своих архивов вредоносные программы, для их загрузки они используют собственного трояна, который инфицировав компьютер пользователя, позволяет скачивать с удаленных серверов другие опасные приложения.

Мониторинг серверов партнерской программы ZIPPRO показал, что пользователи, скачивающие платные архивы, получают в качестве "бесплатного дополнения" Trojan.Mayachok.1 и другие вредоносные приложения. Среди них — существующее с 2011 года семейство троянов - Trojan.Zipro, авторами которых являются организаторы партнерской программы ZIPPRO.

При открытии архива Trojan.SMSSend, созданного с использованием программного обеспечения ZIPPRO, происходит загрузка зашифрованного и сжатого исполняемого файла, запускающегося в момент прекращения работы основного модуля Trojan.SMSSend.

Zashifrovannii i sjatii ispolnyaemii fail Trojan

Выше приведенная иллюстрация показывает, что полезная нагрузка скачивается с определенного IP-адреса. Простая проверка показывает принадлежность этого адреса к партнерской программе ZIPPRO, что, безусловно, подтверждает авторство данного трояна.

Regru whois

При попытке обратиться к данному IP-адресу в браузере открывается веб-страница партнерской программы ZIPPRO.

Web-stranica partnerskoi programmi ZIPPRO

Запущенное в инфицированной системе приложение пытается загрузить в память компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже загруженный в память модуль начитает установку трояна в операционной системе. Модифицирует системный реестр, создавая ветвь

  • HKCU\SOFTWARE\Win32ServiceApp

и сохраняя туда ряд конфигурационных параметров, записывает на диск файл троянской программы, регистрирует путь к нему в ветви реестра, отвечающей за автоматическую загрузку приложений, и запускает трояна на исполнение. При этом вредоносная программа не устанавливается в операционной системе, если в ней уже установлен конструктор платных архивов ZIPPRO.

Excount-new php

Запустившись в операционной системе, Trojan.Zipro читает из реестра собственные конфигурационные данные, устанавливает соединение с принадлежащим злоумышленникам удаленным сервером и скачивает оттуда вредоносное приложение. Среди скачиваемых приложений был замечен не только Trojan.Mayachok.1, но и опасный банковский троян семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro запускает скачанную вредоносную программу. Если попытка загрузить вредоносное приложение с удаленного сайта не удалась, троян удаляет себя из системы.