Такие вредоносные программы зачастую используют и сами программисты для монетизации своих дармовых приложений — они получают вознаграждение за всякую добавочную утилиту, введенную подобным трояном на ПК пользователей. Запустившись на целевой машине, Trojan.RoboInstall.1 испытывает хранящуюся в его структурах конфигурационную информацию, и в случае если она повреждена или отсутствует, демонстрирует на экране извещение об оплошке: Адрес ворочающего сервера хранится в конфигурационных настоящих Trojan.RoboInstall.1. На этот адрес троян отправляет POST-запрос, включающий массив информации в формате JSON(javascript Object Notation), сдавленный при помощи библиотеки ZLIB. В ответ он принимает информацию о загружаемых исполняемых файлах и настройках демонстрации флажков для отказа их установки. Примечательно, что, в отличие от многих других установщиков рекламного ПО, в отображаемых Trojan.RoboInstall.1 диалоговых окнах таковские флажки зачастую отсутствуют, и запуск на исполнение загружаемых троянцем файлов осуществляется без каких-либо добавочных обстоятельств.
Источник: Доктор Веб
