14 de septiembre de 2015

La empresa Doctor Web continúa una serie de publicaciones dedicadas a los troyanos instaladores de aplicaciones de publicidad y no deseadas. En el presente artículo, vamos a informar a nuestros lectores sobre otro programa de esto tipo añadido a las bases bajo el nombre de Trojan.RoboInstall.1.

Igual que muchos otros instaladores de varios tipos de software de publicidad y de “socios”, Trojan.RoboInstall.1 se difunde usando los sitios web de intercambio de archivos, los torrents falsificados y otros recursos en Internet similares creados por los malintencionados. Estos programas nocivos los usan con mucha frecuencia los programadores mismos para monetizar sus aplicaciones gratuitas — obtienen beneficio por cada utilidad adicional instalada por un troyano similar en los equipos de usuarios. Al iniciarse en un equipo objetivo, Trojan.RoboInstall.1 comprueba la información de configuración de su estructura y, si la misma está dañada o no existe, visualiza en la pantalla un mensaje de error:

La dirección del servidor administrativo se guarda en los datos de configuración de Trojan.RoboInstall.1. El troyano envía a esta dirección una solicitud POST que contiene un conjunto de información en formato JSON (JavaScript Object Notation) comprimido usando la biblioteca ZLIB. De respuesta, recibe la información sobre los archivos ejecutables descargados y la configuración de visualización de casillas para rechazar la instalación de las mismas. Cabe destacar que, a diferencia de muchos otros instaladores del software de publicidad, en los cuadros de diálogo visualizados por Trojan.RoboInstall.1 a menudo no hay estas casillas, y la ejecución de los archivos descargado por el troyano se realiza sin ningún requisito adicional.

La empresa Doctor Web recuerda otra vez a los lectores que deben ser prudentes, no iniciar los archivos ejecutables desde los recursos de Internet sospechosos y usar en sus equipos el software antivirus moderno. La firma Trojan.RoboInstall.1 fue añadida a las bases de virus, por lo tanto, este programa nocivo no supone peligros para los usuarios del Antivirus Dr.Web.