Torna alla lista delle notizie
19 agosto 2015
Questo programma malevolo - installer, creato dagli autori dei virus per la monetizzazione di traffico di file, utilizza il seguente principio nel corso del suo funzionamento. Una potenziale vittima trova un file su un sito di condivisione dei malfattori e prova a scaricarlo. A questo punto l'utente viene reindirizzato automaticamente su un sito intermedio da cui sul computer viene scaricato il Trojan.LoadMoney.336. Dopo l'avvio il trojan si connette a un altro server da cui riceve un file di configurazione cifrato. Questo file contiene link di varie applicazioni di partner che anche vengono scaricate da Internet e vengono avviate sul computer infetto, nonché di programmi di pubblicità e di software decisamente malevoli: così, agli analisti dei virus è noto che il Trojan.LoadMoney.336 scarica il trojan Trojan.LoadMoney.894 che a sua volta scarica il Trojan.LoadMoney.919 e il Trojan.LoadMoney.915 quest'ultimo scarica e installa il Trojan.Zadved.158 sulla macchina infetta.
Dopo l'avvio, il trojan esegue una serie di manipolazioni nel sistema in modo da facilitare il proprio funzionamento e da evitare di essere rilevato tra gli altri processi in esecuzione. In particolare, impedisce di terminare Windows, e quando l'utente cerca di spegnere il computer, restituisce l'errore "Download e installazione degli aggiornamenti in corso". Dopo un'inizializzazione riuscita, il Trojan.LoadMoney.336 attende finché non sarà fermato il puntatore del mouse e quindi avvia due sue copie e rimuove il file originale.
Il trojan raccoglie sul computer infetto e trasmette ai malfattori le seguenti informazioni:
- versione del sistema operativo;
- informazioni sugli antivirus installati;
- informazioni sui firewall installati;
- informazioni sugli spyware installati;
- informazioni sul modello della scheda video;
- informazioni sulla quantità di memoria operativa;
- informazioni circa i dischi rigidi e le partizioni;
- informazioni sul produttore OEM del PC;
- informazioni sul tipo della scheda madre;
- informazioni sulla risoluzione dello schermo;
- informazioni sulla versione del BIOS;
- informazioni sulla disponibilità dei privilegi di amministratore nell'account corrente di Windows;
- informazioni circa le applicazioni per l'apertura dei file *.torrent;
- informazioni circa le applicazioni per l'apertura dei link magnet.
Quindi il Trojan.LoadMoney.336 manda una richiesta GET sul suo server di controllo e riceve da esso una risposta cifrata che contiene link per il successivo download di file. Il download viene eseguito in un flusso separato: il trojan manda una rispettiva richiesta HEAD sul server che ospita i file necessari; se il server restituisce l'errore 405 (Method Not Allowed) oppure 501 (Not Implemented), il trojan manda sul server una richiesta GET ripetuta. Se il link di un file target indicato nei dati di configurazione risulta corretto, il trojan estrae le informazioni circa la lunghezza del file e il suo nome dalla risposta del server, dopodiché inizia a scaricare l'applicazione.
Oltre ai link dei componenti da scaricare e installare, il file di configurazione cifrato contiene le informazioni circa la finestra di dialogo che viene visualizzata prima della loro installazione.
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti