Ранее специалисты антивирусных компаний уже сообщали о том, что создатели партнерской программы ZIPPRO распространяют вместе с файлами платных архивов вредоносный код. Дальнейшее исследование выявило: злоумышленники не просто интегрируют в свои архивы вредоносные приложения, для их загрузки они задействуют собственную троянскую утилиту, которая, заразив компьютер, позволяет загружать с удаленных серверов другие вирусы.
Сканирование серверов сервиса ZIPPRO показало, что кроме Trojan.Mayachok.1, на компьютер пользователя, загрузившего платный архив, загружаются и другие вредоносные файлы. Среди них – давно известное семейство троянских приложений Trojan.Zipro, создателем которого являются владельцы партнерской программы Trojan.Zipro ZIPPRO.
В момент открытия архива Trojan.SMSSend, созданного с применением программного обеспечения ZIPPRO, осуществляется загрузка сжатого и зашифрованного исполняемого файла. Запуск загруженного файла происходит в момент завершения работы главного модуля Trojan.SMSSend.
Запущенная в зараженной системе программа пытается внедрить в память компьютера библиотеку, в которой содержится Trojan.Zipro. После загрузки в память модуль запускает инсталляцию троянского приложения: редактирует реестр, создавая раздел HKCU\SOFTWARE\Win32ServiceApp и копируя туда ряд параметров конфигурации, сохраняет на диск файл троянской утилиты, добавляет путь к нему в раздел реестра, обеспечивающий автоматический запуск программ, и запускает вирус на исполнение.
При этом вредоносное приложение не инсталлируется, если в операционной системе уже присутствует конструктор платных архивов ZIPPRO.
После запуска в операционной системе, Trojan.Zipro считывает свою конфигурацию, соединяется с сервером управления и загружает оттуда вредоносный файл. Кроме выявленного ранее Trojan.Mayachok.1, эксперты обнаружили на сервере и опасный банковский вирус семейства Trojan.Carberp.
Света ты сказала “а” , а где “Б” ? К сведению принято, что вирус поймать можно, а как с ним бороться?
“При этом вредоносное приложение не инсталлируется, если в операционной системе уже присутствует конструктор платных архивов ZIPPRO” Объясните, пожалуйста, как это понять? С одной стороны ZIPPRO – это вредоносное обеспечение, с другой – конструктор платных архивов ZIPPRO защищает от этого вредоносного ПО. Как различить? Спасибо.
Светлана! А антивирус их не замечает или просто пропускает? А как с ними бороться с троянами.
Это не только ZIPPRO, есть ещё такая “прелесть” как Funmoods – приклеивается к бесплатной программе и творит что хочет. Удалить – CСleaner (частично), дальше – вручную.