Frankfurt, 14. September 2015
Wie andere Ad-Installer verbreitet sich auch Trojan.RoboInstall.1 über Torents, gefälschte Torrents sowie ähnliche Ressourcen, die von Cyber-Kriminellen speziell dafür vorbereitet wurden. Solche Malware wird auch von App-Entwicklern eingesetzt, die dadurch ihre Apps beliebter und profitabler machen möchten. Nachdem sich Trojan.RoboInstall.1 auf dem Zielrechner gestartet hat, prüft er seine Konfigurationsdatei. Wenn Konfigurationsdaten fehlen, zeigt er die folgende Meldung an:
Die Adresse des Verwaltungsservers ist im Trojan.RoboInstall.1 gespeichert. An diese Adresse schickt der Schädling eine POST-Anfrage, die ein Datenset im JSON-Format (JavaScript Object Notation) enthält. Dieses Datenset ist durch ZLIB archiviert. Im Gegenzug erhält er Daten zu heruntergeladenen Dateien und Häkchen zum Abbrechen der Installation. Im Unterschied zu anderen Installern zeigt Trojan.RoboInstall.1 in Dialogfenstern keine Häkchen an, sodass die Installation von böswilligen Applikationen ohne Einwilligung der Benutzer erfolgt.
Doctor Web empfiehlt Anwendern, beim Herunterladen von Dateien äußerst vorsichtig zu sein und Virenschutzsoftware zu benutzen. Die Signatur Trojan.RoboInstall.1 wurde in die Dr.Web Virendantebank aufgenommen. Der Schädling stellt deshalb für Dr.Web Benutzer keine Gefahr dar.
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare