Вредоносные программы семейства Trojan.LoadMoney неизменно находятся в Топ10 угроз, обнаруживаемых «Антивирусом Dr.Web». К этой категории относятся различные инсталляторы, устанавливающие на компьютер жертвы вместе с требуемым ей приложением всевозможные дополнительные компоненты. Однако некоторые модификации Trojan.LoadMoney обладают и более широкими функциональными возможностями — например, они могут собирать и передавать злоумышленникам различную информацию об атакованном компьютере. Специалисты «Доктор Веб» рассказали об одном из них — Trojan.LoadMoney.336.
Эта вредоносная программа-установщик, созданная вирусописателями для монетизации файлового трафика, использует в процессе своей работы следующий принцип: потенциальная жертва злоумышленников отыскивает на принадлежащем им файлообменном сайте нужный файл и пытается его скачать, в этот момент происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется загрузка троянца Trojan.LoadMoney.336. После запуска троянец обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из интернета и запускаются на инфицированном компьютере, а также на рекламное и откровенно вредоносное ПО.
После запуска троянец выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить свое опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.
Троянец собирает на зараженном компьютере и передает злоумышленникам такую информацию, как версия операционной системы, сведения об установленных антивирусах, сведения об установленных брандмауэрах, об установленном антишпионском ПО, о модели видеоадаптера, об объеме оперативной памяти и так далее. Затем Trojan.LoadMoney.336 обращается к своему управляющему серверу с GET-запросом и получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов.
Помимо ссылок на загружаемые и устанавливаемые компоненты зашифрованный конфигурационный файл содержит также сведения о диалоговом окне, которое демонстрируется пользователю перед их установкой.