Компания “Доктор Веб” обнаружила новый экземпляр вредоносного ПО, устанавливающего на компьютеры жертв рекламные и нежелательные приложения. Вредонос под названием RoboInstall распространяется через файлообменные сети и прочие сомнительные ресурсы в интернете.
После запуска на компьютере жертвы RoboInstall проверяет файл конфигурации, расположенный в его структуре. Если таковой отсутствует или поврежден, пользователю выводится сообщение с просьбой повторно загрузить программу, в комплекте с которой поставлялся троян.
Адрес C&C-сервера, с которым вредонос связывается для получения инструкций, находится в конфигурационных файлах RoboInstall. На него отправляется POST-запрос с набором информации в формате JSON. В ответ вредоносное ПО получает информацию о том, какие дополнительные файлы следует загрузить и отображать ли флажки на их установку. В некоторых случаях дополнительное ПО устанавливается самостоятельно, без какого-либо уведомления в адрес пользователя. Специалисты советуют не загружать исполнительные файлы с подозрительных ресурсов, проявлять бдительность при серфинге и использовать последние версии антивирусного ПО. (Dr.Web/NovostIT)