Обнаружен уникальный троянец на Node.js

    В лаборатории «Доктор Веб» исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Вредоносное ПО распространяется через сайты с читами для популярных видеоигр и получило название Trojan.MonsterInstall.

    Компания «Яндекс» передала на исследование в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца. Эта вредоносная программа, которая распространяется через сайты с читами для видеоигр, имеет несколько версий и компонентов.

    При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.

    Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.

    Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.



    Ресурсы, принадлежащие разработчику троянца:

    • румайнкрафт[.]рф;
    • clearcheats[.]ru;
    • mmotalks[.]com;
    • minecraft-chiter[.]ru;
    • torrent-igri[.]com;
    • worldcodes[.]ru;
    • cheatfiles[.]ru.

    Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.

    Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.

    Компания «Доктор Веб» также благодарит специалистов компании «Яндекс» за предоставленный образец и дополнительную информацию об источниках распространения вредоносной программы.

    Подробнее о троянце
    Индикаторы компрометации
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 13

      +8

      Когда не хватает денег для блога на хабре?

        0

        Сейчас столько всякого развелось. Иной раз и не поймешь сходу где оно вообще обитает на ПК. Все сканы показывают, что все ок, а по факту тот же антивирус которые показывает ок, режет обращения к сайтам и попытку скачать троянца. Иногда попытка идет с браузера иногда в логах просто попытка, из ниоткуда.
        Раньше как-то было проще с вирусами и файлами на поиск.

          +1
          орнул с домена minecraft-chiter[.]ru
            0

            Ну, так-то и сам майнкрафт денег стоит, да и читы, внезапно, для сетевой игры есть...

            +1
            Читеры должны страдать.
              +6

              В запороленном архиве исполняемый файл, который после запуска выгружает зловреда? Троянец, действительно, уникальнейший!

                –1
                В какой момент трейнеры стали называть читами? Уже давно слух и глаз режет. Всегда была терминология: чит — недокументированная возможность сделанная разработчиком, трейнер — что-то издевающееся над процессом игры и в чём как раз и может быть что-то вредоносное.
                Не покидает ощущение что кто-то начал называть системный блок процессором и не нашлось ни одного сноба желающего на это указать.
                  +3
                  С тех пор как используют в сетевой игре.
                  Трейнер — это когда тренируешься в одиночной игре, а не пытаешься всех «нОгибать» в сетевой.
                    –1
                    Для сетевой игры существует термин Hack\Hacks. Это как раз исполняемый файл который модифицирует игровой процесс и даёт возможность издеваться над оппонентами.
                    +2

                    Чит (cheat) переводится как «обман», «мошенничество», поэтому любой инструмент, который даёт игроку возможности, которые не предусмотрены игрой или скрыты разработчиками, относится к читам.

                      –1
                      В игровой индустрии cheat был сокращением от cheat code. И он как раз давал возможности предусмотренные разработчиком, но отличающиеся от того что предусматривал сценарист.
                      0
                      недокументированная возможность сделанная разработчиком

                      Нет, это — багофича, использование которой и без всяких читов позволяет чувствовать в игре как Нео в Матрице.
                      –1
                      Ну и по делом. Пусть страдают. Хотел нОгебать в сетевой игре? Нагнулся сам.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое