Новая версия Trojan.Mods добывает Bitcoin

Александр Панасенко 25 Декабря 2013 - 12:32

...

Компания «Доктор Веб» информирует о распространении новой модификации вредоносной программы семейства Trojan.Mods, получившей наименование Trojan.Mods.10. Создавшие этого троянца злоумышленники также поддались «модному» тренду декабря 2013 года: помимо других функциональных возможностей в Trojan.Mods.10 включен компонент для добычи криптовалюты Bitcoin.

Напомним, что основное функциональное предназначение троянцев семейства Trojan.Mods, получивших широкое распространение еще весной 2013 года, — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате вместо запрашиваемых интернет-ресурсов пользователь попадает на мошеннические веб-страницы, при этом в адресной строке браузера демонстрируется «правильный» URL, вследствие чего жертва может далеко не сразу распознать подмену.

Основное отличие Trojan.Mods.10 от предшественников заключается в том, что предыдущие версии троянца встраивали вредоносную библиотеку в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром, в то время как новая модификацияTrojan.Mods встраивает свой компонент в процесс explorer.exe, который затем ищет в системе запущенные процессы браузеров и пытается внедрить туда собственный код, который раньше был реализован в отдельной динамической библиотеке.

Кроме того, Trojan.Mods.10 содержит в себе программу, предназначенную для добычи (майнинга) электронной криптовалюты Bitcoin, что само по себе является «модной тенденцией» последнего времени — это уже третий троянец с подобным функционалом, обнаруженный специалистами компании «Доктор Веб» в декабре 2013 года.

Сигнатуры описанных выше угроз добавлены в вирусные базы Dr.Web и потому не представляют опасности для пользователей нашего антивирусного ПО.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 15:44

Windows Трояны Домашние пользователи Microsoft

Киберпреступники маскируют трояны под геймерские инструменты

Киберпреступники начали заманивать пользователей под видом игровых утилит. На деле вместо «полезных» инструментов жертвы получают вредоносные программы для удалённого доступа. Распространяются они через браузеры и чат-платформы, а конечная цель — установка трояна на компьютер.

Как сообщили в Microsoft Threat Intelligence, цепочка атаки начинается с вредоносного загрузчика.

Он разворачивает портативную среду Java и запускает JAR-файл с именем jd-gui.jar. Для скрытного выполнения злоумышленники используют PowerShell и штатные инструменты Windows — так называемые LOLBins, например cmstp.exe. Такой подход позволяет маскировать активность под легитимные процессы.

Загрузчик удаляет сам себя, чтобы замести следы, а также добавляет исключения в Microsoft Defender для компонентов зловреда. Закрепление в системе происходит через запланированное задание и стартовый скрипт Windows под именем world.vbs.

Финальный модуль представляет собой многофункциональный инструмент: он может работать как загрузчик, исполнитель команд, модуль для скачивания дополнительных файлов и полноценный RAT.

После запуска вредоносная программа устанавливает соединение с внешним сервером 79.110.49[.]15, откуда получает команды. Это открывает злоумышленникам возможности для кражи данных и доставки дополнительных пейлоадов.

Специалисты рекомендуют администраторам проверить список исключений в Microsoft Defender и перечень запланированных задач, удалить подозрительные элементы, изолировать заражённые хосты и сбросить учётные данные пользователей, которые работали на скомпрометированных машинах.