16 grudnia 2016

Złośliwe programy zaprojektowane do skrytego instalowania innych aplikacji są dość popularne pośród twórców wirusów. W sieci www istnieje wiele tak zwanych programów partnerskich, pomagających cyberprzestępcom w uzyskiwaniu dochodów z pobrań oprogramowania przez użytkowników. Jeden z takich trojanów typu downloader, Trojan.Ticno.1537, został przebadany przez specjalistów Doctor Web w grudniu 2016.

Trojan.Ticno.1537 jest pobierany na komputer przez inny złośliwy program. Uruchomiony, trojan przeszukuje system pod kątem środowisk wirtualnych i narzędzi do debugowania, sprawdzając nazwy uruchomionych procesów i odpowiadające im gałęzie rejestru systemowego Windows. Dodatkowo Trojan.Ticno.1537 weryfikuje Identyfikator Produktu (Product ID), nazwy użytkownika i komputera, liczbę zagnieżdżonych folderów w katalogu Program Files, nazwę producenta systemu BIOS i sprawdza, czy uruchomione są procesy perl.exe lub python.exe. Jeśli proces skanowania zakończy się z powodzeniem, trojan uruchamia aplikację Explorer i kończy jej działanie.

Jeśli trojan nie znajdzie nic podejrzanego, zapisuje na dysku plik 1.zip.

Powyższy obrazek pokazuje niestandardowe okienko dialogowe Microsoft Windows “Zapisz jako”: w lewym dolnym rogu można zobaczyć link “Dodatkowe ustawienia”. Gdy ten link zostanie kliknięty, Trojan.Ticno.1537 wyświetla listę programów gotowych do zainstalowania na komputerze:

Jeśli użytkownik kliknie “Zapisz”, Trojan.Ticno.1537 pobierze i zainstaluje te programy.

Pośród tych aplikacji Trojan.Ticno.1537 instaluje na komputerze ofiary przeglądarkę Amigo i program HomeSearch@Mail.ru (opracowany przez Mail.Ru), oraz trojany Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 i Adware.Plugin.1400.

Wymieniony powyżej Trojan.ChromePatch.1 jest programem reklamowym dystrybuowanym poprzez aplikację TrayCalendar, stworzoną w 2002 roku. Program i trojan są spakowane w jednym pakiecie instalacyjnym.

Gdy TrayCalendar jest kopiowany na dysk, trojan zapisuje i instaluje rozszerzenie dla Google Chrome. Najbardziej godną uwagi cechą wirusa Trojan.ChromePatch.1 jest to, że infekuje on plik zasobów przeglądarki Chrome—resources.pak. Cyberprzestępcy używali tej metody od co najmniej wiosny 2015 w celu wymuszenia wyświetlania reklam nawet wtedy, gdy trojan został usunięty z komputera. Rozmiar tego pliku podczas procesu infekcji pozostaje niezmieniony, ponieważ Trojan.ChromePatch.1 przeszukuje go pod kątem ciągów znaków zawierających komentarze i zastępuje je swoim kodem. Trojan.ChromePatch.1 został zaprojektowany do wyświetlania reklam w przeglądarce Chrome.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają wszystkie trojany wymienione powyżej, tym samym nie stanowią one żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana