Програми для злому комерційного ПЗ, на жаль, користуються певною популярністю. Звернули на них увагу і вирусописатели, підготувавши пару сюрпризів для любителів халяви.
Нещодавно нами було виявлено троянець-дроппер, який видає себе за генератор ключів для продуктів "Лабораторії Касперського". Файл називається kaspersky.exe.
Після запуску файлу на екрані з'являється вікно генератора ключів з пропозицією вибрати продукт для злому. Після вибору одного з пунктів, програма починає генерувати ключ.
Вікно працюючого кейгена
Поки любитель безкоштовного сиру чекає на результат, на його комп'ютері вже орудують два інших зловредів, які були таємно встановлені і запущені Дроппер.
Один з них "Лабораторія Касперського" детектирует як Trojan.MSIL.Agent.aor. Ця шкідлива програма краде реєстраційну інформацію від інших програм і паролі, в основному, до онлайн-ігор, дбайливо збираючи вкрадені дані в одному файлі. Фрагмент цього файлу наведено на скріншоті нижче.
Фрагмент файлу, який заповнюється реєстраційними даними
від відповідного ПО
Цей шкідник також змінює системний файл hosts, блокуючи таким чином доступ до деяких сайтів. Наприклад, сайти virustotal.com і virusscan.jotti.org, що надають сервіс сканування файлів багатьма антивірусними вендорами, будуть недоступні для користувача.
Фрагмент зміненого hosts-файлу:
Другий встановлений Дроппер зловредів - типовий бекдор, який працює також як кейлоггера, збираючи інформацію про натисканні на клавіші. Детектується він як Trojan.Win32.Liac.gfu.
Так, запустивши нібито генератор ключів для Kaspersky Internet Security, можна "поселити" на своєму комп'ютері парочку серйозних зловредів, з якими доведеться боротися KIS. Якщо, звичайно, згенеровані ключі спрацюють.
Головна сторінка - Програмні продукти - Статті - Інформаційна безпека. Антивірусне ПЗ і захист від спаму. Інтернет. лабораторія Касперського