Новый троян Kovter прячется в реестре

Александр Панасенко 10 Июня 2016 - 16:52

...

Trojan.Kovter распространяется с помощью другого троянца — Trojan.MulDrop6.42771, специально созданного для установки на атакуемые компьютеры вредоносных приложений. Такая связка детектируется Антивирусом Dr.Web под именем Trojan.Kovter.297. Несмотря на кажущуюся простоту своего предназначения, Trojan.MulDrop6.42771 имеет довольно-таки сложную архитектуру.

Код троянца содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека скрыта в ресурсах Trojan.MulDrop6.42771 в виде картинки. Этот троянец умеет определять, не запущены ли на компьютере виртуальные машины и иные средства отладки, которые обычно используются вирусными аналитиками для исследования образцов вредоносного ПО, и при обнаружении таковых завершает свою работу. Кроме того, он может показывать на экране компьютера произвольные сообщения и отключать функцию контроля учетных записей пользователя Windows (User Accounts Control, UAC), сообщает news.drweb.ru.

Trojan.MulDrop6.42771 может обеспечить собственную автозагрузку в системе семью разными способами, а для запуска полезной нагрузки вирусописатели предусмотрели целых шесть различных методов: Trojan.MulDrop6.42771использует тот из них, который указан в его конфигурации. Кроме того, эта вредоносная программа умеет копировать себя в корневые папки всех подключенных к зараженной машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю.

Как уже упоминалось ранее, некоторые образцы Trojan.MulDrop6.42771 содержат бестелесного троянца семейства Trojan.Kovter. Обычно он запускается троянцем-носителем, но обладает и собственным механизмом автозапуска. Эта вредоносная программа создает в системном реестре несколько записей: одна содержит само тело троянца в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.

Фактически Trojan.Kovter работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определенной степени затрудняет его поиск и удаление. С точки зрения вредоносных функций Trojan.Kovter можно отнести к категории рекламных троянцев — он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, нажимая на рекламные ссылки и баннеры. Таким образом злоумышленники получают прибыль от организаторов партнерских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 08:55

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Роскомнадзор обсудил с ИТ-компаниями идею единого ГосVPN

В российской ИТ-отрасли обсуждают очередную необычную инициативу. По данным источников СМИ, на совещании Роскомнадзора с представителями ИТ-компаний прозвучала идея создания единого государственного VPN-сервиса для доступа к зарубежным ресурсам.

Как утверждают участники встречи, мероприятие носило установочный характер и должно стать первым из серии подобных обсуждений.

Одной из главных тем стали сложности с доступом к зарубежным репозиториям и взаимодействием российских разработчиков с международными платформами.

По словам источников, представители Роскомнадзора предложили поддерживать более тесное взаимодействие с отраслью, а также вновь подняли тему создания отечественного репозитория свободного программного обеспечения.

Однако больше всего внимания привлекла другая идея — создание некоего «ГосVPN» со сложной архитектурой. Предполагается, что разработчикам могут рекомендовать использовать именно этот канал для доступа к необходимым зарубежным ресурсам. Впрочем, никаких технических деталей пока не раскрывается. Обсуждение концепции, как ожидается, продолжится на следующих встречах.

По словам собеседников рынка, энтузиазма такая инициатива пока не вызывает. Представители отрасли предпочитают дождаться конкретики и понять, как именно будет работать предполагаемый сервис.

На этом фоне продолжается обсуждение другой идеи — предоставить россиянам доступ к отдельным зарубежным сервисам без необходимости использовать сторонние VPN.

Ранее генеральный директор «Билайна» Сергей Анохин рассказывал, что операторы связи совместно с властями прорабатывают механизмы доступа к востребованным ресурсам, которые не заблокированы в России, но сами ограничили работу для российских пользователей.

В качестве примеров он приводил зарубежные нейросети, Netflix и другие популярные сервисы. По словам Анохина, идея уже получила поддержку и находится в проработке.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!