Эксперты «Доктор Веб» обнаружили трояна-кликера, выдающего себя за программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса.

Угрозе присвоили идентификатор Trojan.Click3.27430, и специалисты рассказывают, что сама по себе малварь не представляет большого интереса, это обычный кликер для искусственной накрутки посещаемости веб-сайтов. Гораздо любопытнее метод, используемый злоумышленниками для установки малвари на устройства потенциальных жертв.

Целевая аудитория трояна — пользователи программы DynDNS. Разработчик малвари создал в страницу dnsip[.]ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free[.]com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip[.]ru.

С указанного сайта действительно можно загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой не программу установки DynDNS, а загрузчик. В этом загрузчике хранится имя скачиваемого из интернета файла, который в исследованном образце назвался Setup100.arj.

Несмотря на «говорящее» расширение, Setup100.arj — не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.

В первую очередь с использованием PowerShell он отключает Windows Defender, а для большей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы.

Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троян. Затем дроппер регистрирует исполняемый файл yandexservice.exe, в котором и реализованы все вредоносные функции малвари, в качестве службы с именем «YandexService». При этом в процессе установки настраивается автоматический запуск этой службы одновременно с загрузкой Windows. Сохранив на диске и запустив вредоносную службу, дроппер устанавливает настоящее приложение DynDNS.

Таким образом, если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а троян по-прежнему останется в системе и продолжит свою вредоносную деятельность.

Вирусные аналитики «Доктор Веб» исследовали и другой компонент трояна, выполненный в виде исполняемого файла с именем dnsservice.exe, который также устанавливается на зараженный компьютер в качестве службы Windows с именем DNS-Service. Вирусописателя выдают характерные отладочные строки, которые он забыл удалить из своей малвари:

  • C:\Boris\Программы\BDown\Project1.vbp
  • C:\Boris\Программы\BarmashSetService\Project1.vbp
  • C:\Boris\Программы\Barmash.ru.new\Project1.vbp
  • C:\Boris\Программы\Barmash_ru_Restarter3\Project1.vbp

Данный компонент распространяется в виде маскирующегося под архив файла dnsservice.arj с сайта barmash[.]ru.

Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого трояна пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются еще 2013 годом. Полный список индикаторов компрометации можно найти здесь.

Оставить мнение