SHA1 42f1bd3653cb134685307eb9a83766f05efb4442
Trojan conçu pour installer des logiciels " partenaires ", utilisés par les développeurs pour gagner de l'argent sur les applications gratuites. Ce malware est écrit en Delphi et n'est pas empaqueté. Il est compilé à l'aide de l'application RAD Studio XE3 et se compose de deux bibliothèques dynamiques pour fonctionner sous OpenSSL. Il est distribué sur les sites de partage de fichiers appartenant aux malfaiteurs.
Lancé sur la machine infectée, le Trojan vérifie ses données de configuration et si elles sont endommagées ou absentes, il affiche un message d’erreur sur l'écran :
Si elles sont correctes, le malware envoie au serveur de gestion des requêtes POST. L'adresse du serveur de gestion est stockée dans ses données de configuration. Toutes les données transmises au serveur sont compressées à l'aide d'une bibliothèque ZLIB : la signature et les données en JSON (JavaScript Object Notation), qui représentent l'objet Delphi sérialisé.
En réponse, il reçoit des données en JSON sur les fichiers exécutables téléchargeables et les cases à cocher pour bloquer leur installation, compressées à l'aide de ZLIB. Dans certains cas, le Trojan ne comprend pas de cases à cocher pour les fichiers exécutables, c'est pourquoi l'utilisateur ne peut pas bloquer le téléchargement de ces fichiers.
