Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web: nuovi trojan downloader funzionano di nascosto

6 marzo 2018

Gli analisti Doctor Web stanno esaminando diversi trojan appartenenti alla nota famiglia Trojan.LoadMoney progettata per scaricare altre applicazioni pericolose sul computer infettato.

La famiglia di malware Trojan.LoadMoney è conosciuta a partire dal 2013, con regolarità ne compaiono sempre nuovi campioni. Uno di essi è stato denominato Trojan.LoadMoney.3209. Nel trojan sono contenuti due indirizzi internet da cui esso scarica e lancia altri programmi malevoli. Al momento dello studio, il trojan scaricava da entrambi gli indirizzi un identico file cifrato e lo salvava in una cartella temporanea con un nome casuale. In seguito questo file veniva letto in memoria, veniva rimosso e quindi veniva nuovamente salvato in una cartella temporanea, anch'essa con un nome casuale. Infine, questo file eseguibile veniva letto in memoria e veniva lanciato da memoria, mentre il file originale veniva rimosso.

Uno dei file scaricati da Trojan.LoadMoney.3209 è stato denominato Trojan.LoadMoney.3558. Questo programma malevolo ha un'organizzazione più complessa. Trojan.LoadMoney.3558 svolge il ruolo del principale programma di infezione del sistema ed impiega l'utility gratuita cURL per scaricare file. Questa utility consente di interagire con più server in Internet alla volta attraverso diversi protocolli. Il trojan la decifra e salva su disco. Per scaricare file sul computer infetto tramite cURL, Trojan.LoadMoney.3558 utilizza Scheduler di Windows. Il trojan contiene quattro indirizzi internet cifrati, uno di cui viene utilizzato per il funzionamento di cURL, e dagli altri tre viene scaricato e avviato in modo impercettibile per l'utente un file eseguibile, denominato Trojan.LoadMoney.3263. Dopo l'avvio il file originale di Trojan.LoadMoney.3263 viene rimosso.

Dopo il download il trojan estrae da sé un file eseguibile, ripristina la sua intestazione e lo salva in un cartella temporanea, e quindi lo esegue. Questo file viene rilevato da Dr.Web come Trojan.Siggen7.35395. In quanto gli autori dei virus non hanno implementato nessun effetto visivo nel codice dei programmi malevoli, tutti i trojan sopracitati non si manifestano nel sistema infetto, pertanto la loro attività malevola non è facilmente rilevabile.

Gli analisti Doctor Web continuano a studiare questa famiglia di programmi malevoli e i file pericolosi che essi scaricano da Internet. Man mano che riveleremo nuovi fatti, ne informeremo i nostri lettori. I prodotti antivirus Dr.Web proteggono in modo affidabile da tutti i campioni attualmente conosciuti della famiglia Trojan.LoadMoney, perciò essi non rappresentano nessun rischio per i nostri utenti.

Informazioni sul trojan

#mining #trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A