Эксперты Malwarebytes предупреждают о распространении интересных троянских программ, замаскированных под рекламные приложения, в комплекте с неназванным легитимным программным обеспечением.
Одновременно с инсталляцией легитимной программы на компьютер устанавливаются и рекламные приложения, являющиеся в действительности вредоносными. Активация таких троянских программ происходит лишь после перезагрузки системы. Когда пользователь в следующий раз включит компьютер, то он увидит поддельный экран обновления Windows. По окончании фальшивой процедуры обновления на мониторе появится уведомление об истечении срока действия ключа продукта и предложение выйти на связь со службой поддержки Microsoft по указанному телефонному номеру.
Эксперты Malwarebytes позвонили по этому номеру и поговорили с оператором, который попросил их нажать сочетание клавиш Ctrl+Shift+T. Это действие запустило TeamViewer, с помощью которого оператор вошел в систему, чтобы, вероятно, иметь возможность удалить троянскую программу. Эксперимент не был закончен, поскольку оператор отказался говорить с исследователями, пока он не получит 250 долларов.
Новая вредоносная программа была также обнаружена независимым исследователем информационной безопасности slipstream/RoL, который провел собственный эксперимент. По его словам, колл-центр киберпреступников находится на территории Индии. Кроме того, он выяснил, что с помощью сочетания клавиш CTRL+SHIFT+S может быть отключена блокировка экрана, но не всей системы.
slipstream/RoL изучил код вредоносной программы и нашел «серийные номера»: h7c9-7c67-jb, g6r-qrp6-h2 и yt-mq-6w. Как утверждает исследователь, используя их, жертва может запустить окно Windows Explorer и удалить троянскую программу с компьютера. В то же время эксперты Malwarebytes подчеркивают, что данные коды работают не для всех версий вредоносного программного обеспечения.