Мониторинг серверов партнерской программы ZIPPRO, проводимый компанией «Доктор Веб», показал, что, помимо уже обнаруженного ранее трояна Trojan.Mayachok.1, пользователи, скачивающие платные архивы, получают в качестве «бесплатного дополнения» и другие вредоносные приложения. Среди них - семейство троянов, известное под общим именем Trojan.Zipro, авторами которых являются организаторы партнерской программы ZIPPRO. При открытии архива Trojan.SMSSend, созданного с использованием программного обеспечения ZIPPRO, происходит загрузка зашифрованного и сжатого исполняемого файла, который запускается в момент прекращения работы основного модуля Trojan.SMSSend. После запуска на компьютер жертвы с определенного веб-сайта загружается другой троян Trojan.Zipro. Вредоносный веб-сайт использует домен, принадлежащий партнерской программе ZIPPRO, что подтверждает использование DNS-серверов сервиса. Еще одним подтверждением авторства служит то обстоятельство, что при попытке обратиться к веб-сайту по IP-адресу в веб-браузере открывается сайт партнерской программы ZIPPRO. Запущенное в инфицированной системе приложение пытается загрузить в память компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже загруженный в память модуль начитает установку трояна в операционной системе: модифицирует системный реестр, создавая ветвь "HKCU\SOFTWARE\Win32ServiceApp" и сохраняя туда ряд конфигурационных параметров, записывает на диск файл троянской программы, регистрирует путь к нему в ветви реестра, отвечающей за автоматическую загрузку приложений, и запускает трояна на исполнение. При этом вредоносная программа не устанавливается в операционной системе, если в ней уже установлен конструктор платных архивов ZIPPRO. Запустившись в операционной системе, Trojan.Zipro читает из реестра собственные конфигурационные данные, устанавливает соединение с принадлежащим злоумышленникам удаленным сервером и скачивает оттуда вредоносное приложение — среди таковых был замечен не только упомянутый ранее Trojan.Mayachok.1. На тех же серверах, с которых осуществляется загрузка этого вредоносного приложения, был обнаружен опасный банковский троян семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro запускает скачанную вредоносную программу. Если попытка загрузить вредоносное приложение с удаленного сайта не удалась, троян удаляет себя из системы. На сегодняшний день антивирусным специалистам известно несколько модификаций Trojan.Zipro, сигнатуры которых добавлены в антивирсуные базы. Компания «Доктор Веб» напоминает пользователям: загрузка платных архивов, детектируемых антивирусным ПО как Trojan.SMSSend, крайне опасна, поскольку заражение другими вредоносными программами может произойти уже в момент запуска такого приложения, даже если пользователь сразу закроет окно платного архива. Пользователям рекомендуется скачивать программное обеспечение только из проверенных источников, таких как, например, официальные сайты разработчиков ПО. Если вы стали жертвой злоумышленников, распространяющих созданные с помощью партнерской программы ZIPPRO приложения Trojan.SMSSend, компания «Доктор Веб» рекомендует обратиться в региональный отдел полиции с заявлением об уголовном преступлении, связанном с созданием и распространением партнерской программой ZIPPRO вредоносного программного обеспечения.
Источник