«Врач Интернет» предостерегает о распространении новой вредной платформы Trojan.LoadMoney.336, сделанной вирусописателями для монетизации файлового трафика.

Представленный зловред представляет из себя трояна-установщика с функциями разведчика. Платформа разносится через файлообменные веб-сайты. При попытке скачать любой документ происходит автоматическое пересылка клиента на промежуточный веб-сайт, с которого на персональный компьютер жертвы проводится закачивание вируса. После старта зловред обращается на другой компьютер, откуда он приобретает закодированный конфигурационный документ. В данном документе присутствуют сноски на разные партнёрские дополнения, которые также грузятся из Сети-интернет и запускаются на инфицированном ПК, и на маркетинговое и вредное ПО.

Вирус осуществляет ряд действий в системе, чтобы упростить свою работу и побеспокоить своё признание среди прочих работающих действий. Например, он запрещает окончание работы Виндоус, отдавая при попытке выключения ПК погрешность «Совершается закачка и установка обновлений». После удачной инициализации Trojan.LoadMoney.336 ждет приостановки курсора мыши, потом пускает 2 свои копии, а начальный документ устраняет.

Вредная платформа собирает на инфицированном ПК и передаёт мошенникам следующую информацию: модификация ОС, данные об поставленных антивирусах, компьютерах и антишпионском ПО, информацию о модификации графического адаптера, объёме материнской платы, данные о жёстких дисках и имеющихся на них сегментах, данные о виде исходной платы и прочие.

Потом вирус обращается к собственному правящему компьютеру с GET-запросом и приобретает от него закодированный ответ, имеющий сноски для следующей закачки документов. Их закачивание совершается в автономном потоке: зловред посылает на имеющий нужные документы компьютер аналогичный HEAD-запрос, и, если же тот отдает погрешность 405 (Method Not Allowed) либо 501 (Not Implemented), на компьютер направляется вторичный GET-запрос. Если отмеченная в конфигурационных данных сноска на целевой документ оказывается тактичной, вирус извлекает информацию о длине документа и его имени из решения компьютера, затем начинает загрузку дополнения.