Le 14 septembre 2015

Doctor Web continue sa série de publications sur les Trojans qui installent des applications publicitaires et indésirables. L'article présent porte sur le malware ajouté à la base virale Dr.Web sous le nom Trojan.RoboInstall.1.

Comme ses " homologues ", Trojan.RoboInstall.1 se propage via les sites de partage de fichiers, faux Torrents et autres ressources, créés par les malfaiteurs. Ces logiciels malveillants sont souvent utilisés par les développeurs d’applications gratuites, car ils gagnent de l'argent sur chaque utilitaire que ce Trojan installe sur l'ordinateur. Lancé sur la machine infectée, Trojan.RoboInstall.1 vérifie ses données de configuration et si elles sont endommagées ou absentes, il affiche un message d’erreur sur l'écran:

L'adresse du serveur de gestion est stockée dans les données de configuration du Trojan.RoboInstall.1. Le Trojan envoie une requête POST à cette adresse, qui inclut un bloc de données en JSON (JavaScript Object Notation), compressé à l'aide d'une bibliothèque ZLIB. En réponse, il reçoit des données sur les fichiers exécutables téléchargeables et les cases à cocher pour bloquer leur installation. Il est à noter que cette version de Trojan.RoboInstall.1 ne comprend pas de cases à cocher pour les fichiers exécutables à télécharger, c'est pourquoi l'utilisateur ne peut pas bloquer le téléchargement de ces fichiers.

Les spécialistes de Doctor Web recommandent aux utilisateurs de se protéger à l'aide de logiciels antivirus à jour, ainsi que d'être vigilants et ne pas télécharger d’applications sur des sites douteux. La signature du Trojan.RoboInstall.1 a été ajoutée aux bases virales Dr.Web et ce Trojan ne représente aucune menace pour les utilisateurs des logiciels Dr.Web.