Новый троян устанавливает рекламное ПО от известного российского коммуникационного портала
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщила о широком распространении трояна, предназначенного для накрутки показателей в партнерской программе Loadmoney и установки на инфицированный компьютер нежелательных приложений.
«Партнерские программы, подобные Loadmoney, не редкость — они позволяют администраторам различных веб-сайтов зарабатывать на файловом трафике. Например, владелец торрент-трекера, подключившись к такой партнерской программе, должен добавить в веб-страницы специальный код: в результате при попытке посетителя скачать торрент-файл происходит обращение к удаленному серверу Loadmoney, создающему специальную программу-загрузчик, которая отдается пользователю вместо запрошенного контента, — рассказали CNews в «Доктор Веб». — В свою очередь, при запуске загрузчик скачивает заявленный на веб-странице файл, а также, если пользователь по невнимательности не сбросит в окне приложения соответствующие флажки, устанавливает на его компьютер различное ПО, например тулбар, браузер или иные программы, связанные с известным российским коммуникационным порталом. За каждую установку подобных программ «партнер» получает соответствующее вознаграждение».
Trojan.LMclicker.1 предположительно был разработан одним из пользователей партнерской программы Loadmoney, также являющимся владельцем сайта torrentgun.org (или имеющим к нему администраторский доступ) с целью накрутки своей статистики и извлечения дополнительной прибыли.
Троян имитирует посещение пользователем сайта torrentgun.org, переход в случайный раздел и скачивание случайного файла. Для большей правдоподобности троян представляется для партнерской программы разными браузерами. Полученное таким образом приложение (оно детектируется Dr.Web как Trojan.Loadmoney.1) запускается на компьютере пользователя, и в его интерфейсе автоматически нажимается кнопка «Запустить», сообщили в компании.
При запуске загрузчик скачивает заявленный на веб-странице файл, а также устанавливает различное ПО
Сигнатура данного трояна добавлена в вирусные базы, поэтому он не представляет опасности для пользователей антивирусных продуктов Dr.Web.
© CNews