Вредоносное ПО RoboInstall устанавливает на компьютеры жертв сторонние приложения

image

Теги: вредоносное ПО, дроппер, троян

Вредонос распространяется через файлообменные сети и прочие сомнительные ресурсы.

Компания «Доктор Веб» обнаружила новый экземпляр вредоносного ПО, устанавливающего на компьютеры жертв рекламные и нежелательные приложения. Вредонос под названием RoboInstall распространяется через файлообменные сети и прочие сомнительные ресурсы в интернете.

После запуска на компьютере жертвы RoboInstall проверяет файл конфигурации, расположенный в его структуре. Если таковой отсутствует или поврежден, пользователю выводится сообщение с просьбой повторно загрузить программу, в комплекте с которой поставлялся троян.

Адрес C&C-сервера, с которым вредонос связывается для получения инструкций, находится в конфигурационных файлах RoboInstall. На него отправляется POST-запрос с набором информации в формате JSON. В ответ вредоносное ПО получает информацию о том, какие дополнительные файлы следует загрузить и отображать ли флажки на их установку. В некоторых случаях дополнительное ПО устанавливается самостоятельно, без какого-либо уведомления в адрес пользователя.

Специалисты советуют не загружать исполнительные файлы с подозрительных ресурсов, проявлять бдительность при серфинге и использовать последние версии антивирусного ПО.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.