Wie andere Ad-Installer verbreitet sich auch Trojan.RoboInstall.1 über Torrents, gefälschte Torrents sowie ähnliche Ressourcen, die von Cyber-Kriminellen speziell dafür vorbereitet wurden. Solche Malware wird auch von App-Entwicklern eingesetzt, die dadurch ihre Apps beliebter und profitabler machen möchten. Nachdem sich Trojan.RoboInstall.1 auf dem Zielrechner gestartet hat, prüft er seine Konfigurationsdatei. Wenn Konfigurationsdaten fehlen, zeigt er die dem Pressebericht als Bilddatei angefügte Meldung an.
Die Adresse des Verwaltungsservers ist im Trojan.RoboInstall.1 gespeichert. An diese Adresse schickt der Schädling eine POST-Anfrage, die ein Datenset im JSON-Format (JavaScript Object Notation) enthält. Dieses Datenset ist durch ZLIB archiviert. Im Gegenzug erhält er Daten zu heruntergeladenen Dateien und Häkchen zum Abbrechen der Installation. Im Unterschied zu anderen Installern zeigt Trojan.RoboInstall.1 in Dialogfenstern keine Häkchen an, sodass die Installation von böswilligen Applikationen ohne Einwilligung der Benutzer erfolgt.
Doctor Web empfiehlt Anwendern, beim Herunterladen von Dateien äußerst vorsichtig zu sein und Virenschutzsoftware zu benutzen. Die Signatur Trojan.RoboInstall.1 wurde in die Dr.Web Virendantebank aufgenommen. Der Schädling stellt deshalb für Dr.Web Benutzer keine Gefahr dar.
Doctor Web Deutschland GmbH
Unternehmen
Doctor Web warnt: Trojan.RoboInstall.1 installiert unerwünschte Applikationen
PRESSEMITTEILUNG/PRESS RELEASE
Der IT-Sicherheitsspezialist Doctor Web setzt die Reihe an Publikationen über Ereignisse aus der IT-Security-Szene fort. In der aktuellen Mitteilung geht es um den Trojaner Trojan.RoboInstall.1.
Kontakt
ähnliche Pressemitteilungen