«Доктор Веб» предупреждает о распространении вредоносной программы Kovter (Trojan.Kovter.297), особенность которой заключается в «бестелесной» архитектуре.
Троян работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определённой степени затрудняет его поиск и удаление. Зловред прячется в реестре Windows, где создаёт несколько записей: одна содержит само тело трояна в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.
Kovter относится к рекламным троянам. Он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, «нажимая» на рекламные ссылки и баннеры. Таким образом, киберпреступники получают прибыль от организаторов партнёрских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.
Для распространения Kovter служит другая вредоносная программа — троян MulDrop6. Он содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека замаскирована под картинку. Этот зловред умеет показывать на экране компьютера произвольные сообщения и отключать функцию контроля учётных записей пользователя Windows (User Accounts Control, UAC). Кроме того, вредоносная программа может копировать себя в корневые папки всех подключенных к заражённой машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю.
Источник: 3dnews.ru