Троян-кликер выдает себя за программу DynDNS: обманулись тысячи юзеров

Опубликовано at 15:21
38 0

Эксперты по кибербезопасности из компании «Доктор Веб» обнаружили трояна-кликера, выдающего себя за полезную программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. При этом выглядит зловред на редкость убедительно (для неспециалиста).

Эксперты, сообщают, что угрозе присвоили идентификатор Trojan.Click3.27430. По словам специалистов, сама по себе малварь не представляет ни большого интереса, ни большой опасности – это обычный кликер для искусственной накрутки посещаемости веб-сайтов.

Что представляет интерес – так это метод, который используется злоумышленниками, чтобы установить зловреда на устройства потенциальных жертв.

Целевая аудитория трояна – исключительно пользователи программы DynDNS. Для достижения своих целей, разработчик малвари создал в страницу dnsip[.]ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free[.]com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip[.]ru. Все эти адреса выглядят весьма солидно.

С последнего указанного сайта юзер действительно может загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой, конечно, не программу установки DynDNS, а вирус-загрузчик. В этом загрузчике уже хранится имя скачиваемого из интернета файла, который в исследованном образце назвался Setup100.arj. Причем это не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.

Устраивается поудобнее вирус в системе с большим комфортом. В первую очередь с использованием PowerShell он отключает Windows Defender, а для большей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы. Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троян. Затем дроппер регистрирует исполняемый файл yandexservice.exe, в котором и реализованы все вредоносные функции малвари, в качестве службы с именем «YandexService». При этом в процессе установки настраивается автоматический запуск этой службы одновременно с загрузкой Windows.

Наконец, самая интересная часть марлезонского балета: сохранив на диске и запустив вредоносную службу, дроппер устанавливает настоящее приложение DynDNS. И теперь, если пользователь узнает о трояне и решит удалить его с зараженного компьютера, будет удалена только сама программа DynDNS, а вируспо-прежнему останется в системе и продолжит свою вредоносную деятельность.

На сегодняшний день от этого трояна пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются еще 2013 годом, то есть вирус не очень опасен и весьма специфичен.

Подписываемся, следим @CyberAgency

Related Post

Добавить комментарий