16 de diciembre de 2016

Los programas nocivos que sirven para instalación no sancionada de otras aplicaciones son muy populares entre los malintencionados. En Internet funcionan muchos “programas de socios” que pagan por instalar el software, lo que usan los creadores de virus. Uno de estos troyanos instaladores es Trojan.Ticno.1537, investigado por los analistas de virus de la empresa Doctor Web a principios de diciembre de 2016.

Trojan.Ticno.1537 se descarga en el equipo atacado por otro programa nocivo. Una vez iniciado, el troyano intenta detectar si hay entorno virtual y medios de depuración, al comprobar los nombres de procesos iniciados y las ramas correspondientes del registro de sistema Windows. Además, Trojan.Ticno.1537 comprueba el ID del producto Windows (Product ID), el nombre del usuario y equipo, el número de subcarpetas en el directorio Program Files, el nombre de productor de BIOS y los procesos iniciados en el sistema perl.exe o python.exe. En caso de finalizar la comprobación correctamente, el programa nocivo inicia el Explorador y se finaliza.

Si el troyano no detecta nada sospechoso, guarda en la unidad un archivo llamado 1.zip.

En la figura más arriba puede consultarse una ventana de diálogo no estándar para guardar un archivo de Microsoft Windows: en su parte inferior izquierda hay un enlace «Opciones avanzadas», al pulsar el cual, Trojan.Ticno.1537 visualizará un listado de programas que tiene previsto instalar en el equipo:

Al hacer clic sobre Save, Trojan.Ticno.1537 empieza a descargar e instalar estos programas.

Entre las aplicaciones que Trojan.Ticno.1537 instala en el equipo de la víctima hay un navegador Amigo y el programa HomeSearch@Mail.ru desarrollado por la empresa Mail.Ru, así como los troyanos Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 y Adware.Plugin.1400.

Trojan.ChromePatch.1 mencionado más arriba — es un troyano de publicidad que penetra en el sistema junto con la aplicación TrayCalendar creada en el año 2002. El programa y el troyano están comprimidos en un solo paquete de instalación.

Al copiar TrayCalendar a la unidad, el instalador guarda e instala una extensión para Google Chrome. La peculiaridad más interesante de Trojan.ChromePatch.1 es que el mismo puede infectar el archivo de recursos del navegador Chrome, — resources.pak. Los malintencionados usan este truco a partir de la primavera del año 2015 года, para que en Chrome se visualice la publicidad hasta una vez eliminado el troyano del equipo. Al infectarse, el tamaño de este archivo no cambia, porque Trojan.ChromePatch.1 busca en el mismo las líneas con comentarios y las cambia por su propio código. Trojan.ChromePatch.1 sirve para visualizar publicidad importuna en la ventana del navegador Chrome.

Todos los troyanos mencionados en el artículo se detectan y se eliminan correctamente por el Antivirus Dr.Web, por lo tanto, no son peligrosos para nuestros usuarios.

Más información sobre el troyano