11.07.2018 Новости, БезопасностьКомпания «Доктор Веб» обнаружила новый случай использования механизма обновления приложений для распространения вредоносных программ. Как известно, именно так распространялся троянец-шифровальщик Trojan.Encoder.12544, известный как Petya, Petya.A, ExPetya и WannaCry-2, а также бэкдор BackDoor.Dande. В службу технической поддержки «Доктор Веб» поступило сообщение от одного из пользователей о том, что «Антивирус Dr.Web» регулярно обнаруживает и удаляет на компьютере приложение для добычи криптовалют. Исследование журнала антивируса показало, что майнер прятался во временной папке на зараженном ПК. В то же время журнал веб-антивируса SpIDer Gate сохранил информацию о том, что приложение пыталось соединиться с IP-адресом, который соответствует сайту компании Astrum Soft — производителя ПО «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе. В самом приложении официально присутствует функция майнинга (добычи) криптовалют, которую пользователь может включить, когда компьютеры простаивают. Тем не менее исследование показало, что программой, привлекшей внимание пользователя, было не само приложение «Компьютерный зал», а скрытый майнер, добавленный в вирусные базы Dr.Web под именем Trojan.BtcMine.2869. Этот троянец автоматически скачивался с серверов компании Astrum Soft механизмом обновления программы «Компьютерный зал» и устанавливался им в систему. Приложение «Компьютерный зал» периодически отправляет запрос на сервер своего разработчика, в ...
читать далее.