Компания «Доктор Веб» предупреждает пользователей об очередном троянце-установщике рекламных и нежелательных приложений — Trojan.RoboInstall.1. ПО распространяется посредством файлообменных сайтов, поддельных торрентов и иных аналогичных интернет-ресурсов, созданных злоумышленниками.
Запустившись на целевой машине, Trojan.RoboInstall.1 проверяет хранящуюся в его структурах конфигурационную информацию и, если она повреждена или отсутствует, демонстрирует на экране сообщение об ошибке: «Файл поврежден, пожалуйста скачайте заново».
Адрес управляющего сервера хранится в конфигурационных данных Trojan.RoboInstall.1. На этот адрес троянец отправляет POST-запрос, содержащий массив информации в формате JavaScript Object Notation, сжатый при помощи библиотеки ZLIB. В ответ он принимает информацию о загружаемых исполняемых файлах и настройках демонстрации флажков для отказа их установки. Примечательно, что, в отличие от многих других установщиков рекламного ПО, в отображаемых Trojan.RoboInstall.1 диалоговых окнах такие флажки зачастую отсутствуют, и запуск на исполнение загружаемых троянцем файлов осуществляется без каких-либо дополнительных условий.
Специалисты «Доктор Веб» рекомендуют пользователям проявлять бдительность, не загружать исполняемые файлы с подозрительных интернет-ресурсов и использовать на своих компьютерах современное антивирусное ПО.