Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы.
Недавно нами был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe.
После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ.
Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером.
Один из них «Лаборатория Касперского» детектирует как Trojan.MSIL.Agent.aor. Эта вредоносная программа ворует регистрационную информацию от других программ и пароли, в основном, к онлайн-играм, заботливо собирая украденные данные в одном файле. Фрагмент этого файла приведен на скриншоте ниже.
Этот зловред также изменяет системный файл hosts, блокируя таким образом доступ к некоторым сайтам. Например, сайты virustotal.com и virusscan.jotti.org, предоставляющие сервис сканирования файлов многими антивирусными вендорами, будут недоступны для пользователя.
Фрагмент измененного hosts-файла:
##Do not touch this file, changing it will cause SERIOUS damage to your computer
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en
Второй установленный дроппером зловред — типичный бэкдор, который работает также в качестве кейлоггера, собирая информацию о нажатиях на клавиши. Детектируется он как Trojan.Win32.Liac.gfu.
Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно “поселить” на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают.