Вредоносный троян загружается через сайты файлообменников, принадлежащие злоумышленникам

Семейство вредоносов Trojan.LoadMoney (по классификации «Доктор Веб») неизменно входит в TOP-10 угроз, обнаруживаемых антивирусным решением компании. К данной категории относятся различные инсталляторы, которые устанавливают на компьютер жертвы всевозможные дополнительные компоненты вместе с требуемым приложением. Одним из таких троянов является Trojan.LoadMoney.336.

Данный инсталлятор разработан вирусописателями для монетизации файлового трафика. Принцип работы трояна следующий: потенциальная жертва находит необходимый файл на файлообменнике, принадлежащем злоумышленникам. В то время, как пользователь пытается скачать файл, происходит автоматические перенаправление на промежуточный сайт, с которого на компьютер жертвы и загружается троян.

После запуска инсталлятор обращается на другой сервер, с которого он получает зашифрованный файл конфигурации. Конфигурационный файл содержит ссылки на вредоносное ПО и различные партнерские приложения, которые загружаются из интернета и запускаются на инфицированном компьютере.

После запуска вредонос выполняет ряд манипуляций в системе, чтобы скрыть свое присутствие среди других текущих процессов. В частности, он запрещает завершение работы Windows, выдавая ошибку «Выполняется загрузка и установка обновлений» при попытке выключения компьютера. После успешной инициализации троян ожидает остановки курсора мыши, затем запускает две собственные копии, удаляя исходный файл.

Инсталлятор собирает и передает злоумышленникам информацию об инфицированном компьютере. После этого троян посылает CNC-серверу GET-запрос и получает от него зашифрованный ответ, который содержит ссылки для последующей загрузки файлов, скачивание которых выполняется в отдельном потоке.

Помимо ссылок на загружаемые и устанавливаемые компоненты, зашифрованный файл конфигурации содержит данные о диалоговом окне, которое отображается перед их установкой. Флажки, с помощью которых можно отключить устанавливаемые компоненты, неактивны по умолчанию. Однако при наведении курсора третий из них неожиданно становится активным и позволяет сбросить первые два.