В связи с появлением жалоб на непонятные заражения, от которых невозможно избавиться, эксперт Лоренс Абрамс (Lawrence Abrams) из Bleeping Computer и двое его коллег провели расследование и выявили новое творение вирусописателей — инсталлятор, устанавливающий на Windows целый букет зловредов, в том числе руткит.

Как оказалось, жертвы заражения сами закачивали вредоносную программу вместо активатора игры или Windows (вроде KMSpico). Анализ показал, что все эти «кряки» и кейгены — не что иное как рекламное ПО под названием aimp, которое, по всей видимости, и загружает зловред.

Этот вредоносный инсталлятор, по словам Абрамса, умеет обнаруживать свой запуск в виртуальной машине. Он устанавливается в папку %AppData% под произвольным именем и внедряет процесс в explorer.exe. Далее этот процесс копирует себя в папку временных файлов как allradio_4.27_portable.exe и отображает жертве экран проигрывателя All-Radio 4.27 Portable — это изображение присутствовало во всех случаях инфицирования.

Абрамс провел поиск по имени и нашел на русскоязычном сайте эту легитимную программу, скопированную вирусописателями. All-Radio 4.27 Portable позиционируется как многофункциональный плеер, позволяющий смотреть телепрограммы, видео и слушать радиопередачи онлайн.

Замаскированный таким образом зловред загружает и устанавливает в папку %Temp% другие вредоносные файлы, а затем запускает их на исполнение. В итоге на машине жертвы обосновываются майнер криптовалюты file.exe; программа мониторинга буфера обмена, способная отслеживать и подменять более 2 млн адресов криптокошельков; драйвер руткита, для которого создается защищенная служба с отображаемым именем wifi support; троянский загрузчик и программа для рассылки спама.

В некоторых случаях к этому набору добавляется также троян, нацеленный на кражу информации, поэтому Абрамс рекомендует жертвам сменить пароли к тем сайтам, на которые они заходили после заражения, используя «чистую» машину.

Если большинство перечисленных зловредов можно вычистить с помощью антивирусных программ, с руткитом придется бороться вручную, и жертве может понадобиться сторонняя помощь. Эксперты также настоятельно рекомендуют воздержаться от скачивания «кряков» и кейгенов: такие продукты зачастую содержат вредоносное ПО.

Категории: Аналитика, Вредоносные программы