19.06.2016 Новости, БезопасностьКомпания «Доктор Веб» сообщила о результатах изучения Trojan.Kovter.297 – одного из представителей группы «бестелесных» троянцев. Такие программы не присутствуют на инфицированном компьютере в виде отдельного файла, а работают непосредственно в оперативной памяти, используя для своего хранения различные контейнеры, например, системный реестр Windows. Trojan.Kovter распространяется с помощью другого троянца – Trojan.MulDrop6.42771, специально созданного для установки на атакуемые компьютеры вредоносных приложений. Такая связка детектируется Антивирусом Dr.Web под именем Trojan.Kovter.297. ПО Trojan.MulDrop6.42771 имеет довольно-таки сложную архитектуру: ее код содержит множество случайных строк и вызовов функций, чтобы усложнить анализ, а основная вредоносная библиотека скрыта в ресурсах Trojan.MulDrop6.42771 в виде картинки. Этот троянец умеет определять, не запущены ли на компьютере виртуальные машины и иные средства отладки, которые обычно используются вирусными аналитиками для исследования образцов вредоносного ПО, и при обнаружении таковых завершает свою работу. Кроме того, он может показывать на экране компьютера произвольные сообщения и отключать функцию контроля учетных записей пользователя Windows (User Accounts Control, UAC). Trojan.MulDrop6.42771 может обеспечить собственную автозагрузку в системе семью разными способами, а для запуска полезной нагрузки в нем предусмотрено шесть методов: Trojan.MulDrop6.42771 использует тот из них ...
читать далее.