Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web esamina un installer di software indesiderati e annunci incancellabili

16 dicembre 2016

I programmi malevoli che eseguono un'installazione non autorizzata di altre applicazioni sono molto popolari tra i malintenzionati. In Internet ci sono molti cosiddetti "partner program" studiati per pagare un compenso per installazioni di software, una cosa di cui si approfittano gli scrittori dei virus. Uno di questi trojan progettati per installazioni è Trojan.Ticno.1537 che è stato studiato dagli analisti dei virus Doctor Web all'inizio di dicembre 2016.

Trojan.Ticno.1537 viene scaricato sul computer sotto attacco da un altro programma malevolo. Dopo l'avvio il trojan cerca di determinare la disponibilità di ambiente virtuale e strumenti di debug, verificando i nomi dei processi in esecuzione e i relativi rami del registro di sistema di Windows. Inoltre, Trojan.Ticno.1537 verifica l'identificatore del prodotto di Windows (Product ID), il nome dell'utente e del computer, il numero di cartelle nidificate nella directory Program Files, il nome del produttore del BIOS e la presenza nel sistema dei processi attivi perl.exe o python.exe. Se la verifica ha avuto un esito positivo, il programma malevolo avvia Esplora risorse e si chiude.

Se il trojan non ha rilevato nulla di minaccioso, salva sul disco un file con il nome 1.zip.

#drweb

Nell'immagine sopra è mostrata una finestra di dialogo di salvataggio file di Microsoft Windows non standard: nell'angolo inferiore sinistro è locato un link "Avanzate", a un clic su cui Trojan.Ticno.1537 visualizzerà un elenco di software che stanno per essere installati sul computer:

#drweb

Quando viene cliccato il pulsante Save, Trojan.Ticno.1537 inizia il download e l'installazione di questi software.

#drweb

Tra le applicazioni che vengono installate da Trojan.Ticno.1537 sul computer della vittima ci sono il browser Amigo e il programma HomeSearch@Mail.ru sviluppati dall'azienda Mail.Ru e inoltre i malware Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 e Adware.Plugin.1400.

Il sopracitato Trojan.ChromePatch.1 è un trojan-adware che si infiltra nel sistema insieme all'applicativo TrayCalendar creato nel 2002. L'applicativo stesso e il trojan sono compressi in un singolo pacchetto di installazione.

#drweb

Allo stesso tempo della copiatura su disco di TrayCalendar, il programma-installer salva e installa l'estensione per Google Chrome. La caratteristica più interessante di Trojan.ChromePatch.1 è quella che il trojan può infettare il file delle risorse del browser Chrome — resources.pak. I malintenzionati utilizzano questa tecnica per almeno dalla primavera del 2015 per fare sì che annunci vengano mostrati in Chrome anche dopo la rimozione del trojan dal computer. Ad infezione le dimensioni di questo file non cambiano in quanto Trojan.ChromePatch.1 ci cerca righe di commenti e le sostituisce con il proprio codice. Trojan.ChromePatch.1 ha la finalità di mostrare annunci indesiderati nella finestra del browser Chrome.

Tutti i trojan menzionati nell'articolo vengono rilevati e rimossi da Antivirus Dr.Web perciò non rappresentano alcun rischio per i nostri utenti.

Informazioni sul trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A