Новый троянец устанавливает нежелательное ПО от Mail.ru

Компания «Доктор Веб» сообщил пользователям о широком распространении троянца, предназначенного для накрутки показателей в партнерской программе Loadmoney и установки на инфицированный компьютер нежелательных приложений.


Партнерские программы, подобные Loadmoney, не редкость – они позволяют администраторам различных веб-сайтов зарабатывать на файловом трафике. Например, владелец торрент-трекера, подключившись к такой партнерской программе, должен добавить в веб-страницы специальный код: в результате при попытке посетителя скачать торрент-файл происходит обращение к удаленному серверу Loadmoney, создающему специальную программу-загрузчик, которая отдается пользователю вместо запрошенного контента. В свою очередь при запуске загрузчик скачивает заявленный на веб-странице файл, а также, если пользователь по невнимательности не сбросит в окне приложения соответствующие флажки, устанавливает на его компьютер различное ПО, например тулбар, браузер или иные программы, связанные с известным российским коммуникационным порталом Mail.ru. За каждую установку подобных программ «партнер» получает соответствующее вознаграждение.

Trojan.LMclicker.1 предположительно был разработан одним из пользователей партнерской программы Loadmoney, также являющимся владельцем сайта torrentgun.org (или имеющим к нему администраторский доступ) с целью накрутки своей статистики и извлечения дополнительной прибыли.

Троянец имитирует посещение пользователем сайта torrentgun.org, переход в случайный раздел и скачивание случайного файла. Для большей правдоподобности троянец представляется для партнерской программы разными браузерами. Полученное таким образом приложение (оно детектируется Dr.Web как Trojan.Loadmoney.1) запускается на компьютере пользователя, и в его интерфейсе автоматически нажимается кнопка «Запустить». В результате этой активности на компьютер жертвы загружается и устанавливается различное ПО, связанное с порталом Mail.ru.