Новые информационные технологии и программное обеспечение
  RSS    

20231229 200x300 0d249f2d3676e05c1a28a375dff09c2a



Как удалить вирус Маячок.1 - Trojan.Mayachok.1

 

 

Не успели пользователи "познакомиться" с достаточно нетривиальным вирусом Маячок, как была обнаружена модификация Маячок.1. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike и пиратского софта

В момент подключения пользователей к одному из игровых серверов на их ПК начинают загружаться файлы со скрытыми в них троянскими программами.

Маячок 1

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Разумеется,  такое поведение более чем нехарактерно для программного обеспечения игры Counter-Strike.

 

В ходе проведенного аналитиками расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).

как работает вирус Маячок

При любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Помимо этого, троянец позволял организовывать DDoS атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS атаки на «неугодные» игровые серверы.

В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки». Так, в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, он создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, например по случаям сблокировкой доступа в Интернет и подменой сайта Ростелекома.

Любителям игры Counter-Strike рекомендуется проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов. 

 

Вторая модификация вируса Маячок.1 затронула российские файлообменники (говоря более конкретным языком - файлопомойки) с дорогим пиратским программным обеспечением. Распространение идет с помощью партнерской программы ZIPPRO архивов за которыми с недавних пор скрывается Trojan.Mayachok.1.

Если раньше жертва этого мошенничества теряла только деньги, отправив платное SMS чтобы открыть архив, то теперь она также получает на свой компьютер опасный троянец Trojan.Mayachok.1, а также популярный тулбар.

вирус маячок

Как известно, партнерские программы в Интернете пользуются популярностью не только у рядовых пользователей, желающих сколотить себе капитал по-быстрому, но и у более крупных игроков. В частности, партнерские программы применяют вирусописатели и сетевые мошенники.

вирус маячок

Генератор  ZIPPRO представляет собой программное приложение, в котором можно настроить итоговый визуальный стиль, предусмотреть различные варианты оплаты. Таким образом, вирусописатели вкладывают в архив пустые файлы.  и получают за это деньги.

Маячок

Антивирсы определяют заражение как трояна Trojan.SMSSend. 

маячок

Пользователь, скачавший такой архив и для открытия его пославший платное SMS на короткий номер, не получал ничего. Хотя партнер ZIPPRO получал свой процент. Таким образом, организована целая бизнес-схема, в рамках которой доходность от распространяемых архивов обеспечивалась платными SMS, подписками на ненужные мобильные услуги.

 

Ныне модифицированный вирус проникает на ПК не только через описанные выше архивы (теперь уже с различными вариантами бесплатного ПО) от ZIPPRO но и чеерз тулбар «Спутник@Mail.Ru».  На данный момент всем пользователям, которые имели неосторожность скачать любой архив Trojan.SMSSend, кроме уже гарантированного тулбара от Mail.Ru, установят еще и Trojan.Mayachok.1. А «партнеры» собственными руками создают офлайн-ботнет для ZIPPRO.

Методика лечения осталась прежней, процедура излечения описана в соответствующей статье

 

 

 

 

Оставьте свой комментарий!

Комментарии  

 
0 # Guest 27.09.2012 13:39
Выпущена модификация: Троянская программа состоит из двух компонентов: дроппера и динамической библиотеки, в которой реализован основной вредоносный функционал троянца. Дроппер создает в директории %MDOCUMENTS% папку с именем IntMaak, в которую временно сохраняет троянскую библиотеку и REG-файл, предназначенный для регистрации библиотеки в системе. Затем дроппер ищет в памяти ПК запущенный процесс explorer.exe и внедряет в него вредоносный код.
Ответить
 
 
0 # Guest 27.09.2012 13:40
С использованием данного кода, уже от имени процесса explorer.exe, троянец сохраняет в системную директорию %SSTEM% копию вредоносной библиотеки. С помощью редактора реестра Trojan.Maacok. импортирует REG-файл, модифицируя ветвь реестра, отвечающую за загрузку вредоносной библиотеки во все процессы. Затем дроппер удаляет временные файлы и саму папку IntMaak, а также с целью сокрытия способа своего проникновения в систему уничтожает файлы cookies и очищает кеш браузера Microsoft Inte Explorer.
Ответить
 
 
0 # Guest 27.09.2012 13:42
Вредоносная библиотека работает с браузерами Microsoft Inte Explorer, Opera, Moilla Firefox, Google Crome. В процессе работы Trojan.Maacok. записывает на диск зашифрованный конфигурационный файл, в котором хранит список управляющих серверов, внедряемый в просматриваемые пользователем веб-страницы скрипт и другие параметры.

В отличие от Trojan.Maacok., в код троянца были внесены существенные изменения: исчезла проверка на наличие в инфицируемой системе средств виртуализации, изменено число поддерживаемых процессов, а также механизм сравнения их имен, отсутствует функция проверки конфигурационного файла на целостность. Стоит напомнить, что Trojan.Maacok стал одним из первых троянцев, использующих технику заражения VBR (Volume Boot Record): эта техника, как оказалось впоследствии, не была разработана создателями данной угрозы, а приобреталась ими у других вирусописателей. Например, аналогичный код был обнаружен в банковском троянце Trojan.Carberp.
Ответить
 

Добавить комментарий


 

Самое читаемое:

Быстрый поиск

Инструкции к программам

Инструкции к программам

Сайт "Новые Информационные Технологии" содержит лишь справочные данные из открытых источников. Мы НЕ Рекламируем и НЕ Рекомендуем покупать или использовать ВСЕ упомянутые на сайте программы, оборудование и технологии