Бесплатные ключи могут быть совсем не бесплатными

19 Мая 2017

Как говорится, бесплатный сыр только в мышеловке. И эта поговорка напрямую касается и различных цифровых товаров. Компания «Доктор Веб» спешит предупредить вас об еще одном представителе вредоносного программного обеспечения, который может быть опасным для пользователей, использующих бесплатные цифровые ключи. Однако в данном случае преступники, создавшие вирус, несколько ушли от стандартов передачи вредного программного обеспечения.

В Интернете (в частности во «Вконтакте» и других соцсетях) пользователи начали получать сообщения, в которых анонимы предлагали получить бесплатно ключи для Антивируса Dr.Web. Обычно, к сообщению была приложена краткая ссылка на Rghost. Перешедшему на сайт предлагалось скачать архив (около 26 килобайт).

В архиве находился файл-исполнитель, который отображался в качестве текстового файла. Все копии вируса, над которыми проводились исследования, оказались бэкдором. Но перед тем, как разместить вредоносную программу в Интернете, всегда производили ее переупаковку, чтобы избежать обнаружения по сигнатуре. Ввиду этого троян, который был назван Trojan.MulDrop7.26387, некоторое время не распознавался Антивирусом Dr.Web — все новые копии вируса можно было найти лишь после загрузки обновленной базы вирусов. Судя по всему, преступники брали в расчет беззаботных юзеров, которые и до того использовали бесплатный антивирус или не устанавливали защиту от вирусов вообще.

Trojan.MulDrop7.26387 — это бэкдор, с довольно простым «арсеналом школьника». В основе лежит довольно популярная платформа для удаленного доступа Njrat 0.7 Golden By Hassan Amiri, которую легко обнаруживает Dr.Web, как BackDoor.NJRat.1013. После установки бэкдора, он присоединялся к главному управляющему устройству и отсылает ему все данные о зараженном устройстве: серийный номер HDD/SSD, версию и разрядность установленной операционной системы, производителя и имя устройства, есть ли на нем антивирусная защита, ее версия, наличие веб-камеры. Троян позволяет преступникам совершать следующие действия на зараженном компьютере: замена обоев на рабочем столе, вывод уведомления с определенной информацией, инверсия управления мышью, воспроизведение определенного голосового сообщения при помощи речевого синтезатора, скрытие/отображение Панели задач, открытие/закрытие дисководов, включение/выключение экрана, открытие страницы в браузере, чтение, установка и удаление реестра системы, оправка на определенное устройство скриншота монитора, загрузка и активация определенного приложения, обновление и удаление трояна. Пожалуй, интегрированный кейлоггер — это наиболее опасная функция данного трояна, он может запомнить нажатие клавиш пользователя (троян после отправляет их на главный сервер преступников). К тому же вирус имел возможность запускать на зараженном компьютере неприемлемые SWF-видеофайлы. 

Самое главное — это всегда помнить, что сейчас защита от вирусов должна быть на каждом компьютере, для каких бы целей он ни использовался, а купить антивирус Dr.Web, можно сделав всего несколько кликов. К сожалению, различные вирусы порой способны не только выкрасть какие-либо сведения с вашего устройства, но и навредить непосредственно вам. Аналитики из Dr.Web признали, что вирусы подобные описанному выше, чьей целью является еще и запугивание пользователей, на данный момент стали редкостью. Большей частью преступники сейчас стараются узнать какие-либо данные ради извлечения для себя прибыли. Потому, мы  рекомендуем не увлекаться "бесплатными" ключами для антивирусов (да и любых других программ), так как это может быть черевато плохими последствиями.