Сюрприз для любителів халяви, Безпека ПЗ, Security & Hack, статті

Програми для злому комерційного ПЗ, на жаль, користуються певною популярністю. Звернули на них увагу і Вірусописьменники, підготувавши пару сюрпризів для любителів халяви.


Нещодавно нами було виявлено троянець-дроппер, який видає себе за генератор ключів для продуктів "Лабораторії Касперського". Файл називається kaspersky.exe.


Після запуску файла на екрані з'являється вікно генератора ключів з пропозицією вибрати продукт для злому. Після вибору одного з пунктів, програма починає генерувати ключ.


Вікно працюючого кейгена


Поки любитель безкоштовного сиру чекає результату, на його комп'ютері вже орудують два інших зловреда, які були таємно встановлені і запущені дроппер.



Один з них "Лабораторія Касперського" детектує як Trojan.MSIL.Agent.aor. Ця шкідлива програма краде реєстраційну інформацію від інших програм і паролі, в основному, до онлайн-ігор, дбайливо збираючи вкрадені дані в одному файлі. Фрагмент цього файлу наведено на скріншоті нижче.

Фрагмент файлу, який заповнюється реєстраційними даними
від відповідного ПЗ


Цей зловредів також змінює системний файл hosts, блокуючи таким чином доступ до деяких сайтів. Наприклад, сайти virustotal.com і virusscan.jotti.org, що мають сервіс сканування файлів багатьма антивірусними вендорами, будуть недоступні для користувача.


Фрагмент зміненого hosts-файлу:

Другий встановлений дроппер зловреда – типовий бекдор, який працює також як кейлоггера, збираючи інформацію про натисканнях на клавіші. Детектується він як Trojan.Win32.Liac.gfu.


Так, запустивши нібито генератор ключів для Kaspersky Internet Security, можна "поселити" на своєму комп'ютері парочку серйозних зловредів, з якими доведеться боротися KIS. Якщо, звичайно, згенеровані ключі спрацюють.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*