6 de marzo de 2018

Los analistas de virus de la empresa Doctor Web investigan varios troyanos de la familia conocida Trojan.LoadMoney que descargan otras aplicaciones peligrosas en los equipos infectados.

La familia de programas nocivos Trojan.LoadMoney es conocida aún a partir del año 2013, y sus nuevos representantes aparecen con regularidad. Uno de ellos fue llamado Trojan.LoadMoney.3209. El troyano contiene dos direcciones de Internet desde los cuales el mismo descarga e inicia otros programas nocivos. En el momento de investigación el mismo descargaba de ambas direcciones el archivo cifrado idéntico y lo guardaba en una carpeta temporal con un nombre aleatorio. Luego este archivo se leía en la memoria, se eliminaba, y luego se guardaba otra vez en la carpeta temporal, también con un nombre aleatorio. Finalmente, este archivo ejecutable se leía en la memoria y se iniciaba desde la misma, y el archivo inicial se eliminaba.

Uno de los archivos que descarga Trojan.LoadMoney.3209 fue llamado Trojan.LoadMoney.3558. Este programa nocivo tiene estructura más sofisticada. Trojan.LoadMoney.3558 es el infector básico del sistema y para descargar archivos usa la utilidad pública cURL. Esta utilidad permite interaccionar con varios servidores en Internet a la vez por múltiples protocolos. El troyano la descifra y la guarda en el disco. Para descargar archivos en el equipo infectado con cURL, Trojan.LoadMoney.3558 usa el Programador de tareas Windows. El troyano contiene cuatro direcciones cifradas de los recursos de Internet, una de ellas se usa para el funcionamiento de cURL, y desde las tres restantes sin autorización del usuario se descarga y se inicia el archivo ejecutable llamado Trojan.LoadMoney.3263. Una vez iniciado, el archivo inicial Trojan.LoadMoney.3263 se elimina.

Una vez descargado, el troyano extrae de sí mismo el archivo ejecutable, recupera su encabezado y lo guarda en la carpeta temporal, y luego lo inicia. El archivo indicado se detecta por Dr.Web como Trojan.Siggen7.35395. Con los creadores de virus no realizaron ningún efecto visual en el código de los programas nocivos, todos los troyanos mencionados más arriba no tienen mucha actividad en el sistema infectado, por lo tanto, no es fácil detectar su actividad nociva.

Los analistas de virus Doctor Web siguen investigando esta familia de programas nocivos y los archivos peligrosos que los mismos descargan de Internet. Seguiremos informando a nuestros lectores sobre el asunto. Los productos antivirus Dr.Web protegen de forma segura contra todos los representantes de la familia Trojan.LoadMoney conocidos actualmente y por lo tanto no peligrosos para nuestros usuarios.

Más información sobre el troyano

#mining #troyano