Новые схемы подмены страниц в браузере - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Новые схемы подмены страниц в браузере

Recommended Posts

AM_Bot

Компания "Доктор Веб" сообщает о появлении нового класса вредоносных программ Trojan.HttpBlock, которые блокируют доступ к популярным интернет-сайтам. В отличие от семейства Trojan.Hosts, Trojan.HttpBlock перенаправляет пользователя не на вредоносный сайт, расположенный в Интернете, а на устанавливаемый троянцем на заражаемом компьютере веб-сервер.

Начало распространения программ класса Trojan.HttpBlock было зафиксировано 22 сентября 2010 г. На 1 октября 2010 года обнаружено 2 семейства Trojan.HttpBlock, несколько отличающихся между собой по функционалу. На данный момент оба варианта Trojan.HttpBlock с отображаемых в браузерах страниц требуют отправить платное SMS-сообщение на номер 6681 за восстановление доступа к сайтам.

Trojan.HttpBlock.1 имеет больше модификаций, чем Trojan.HttpBlock.2. Эти вредоносные программы не изменяют сам файл hosts, полагаясь на то, что это сделает другой компонент вредоносной программы, в коплекте с которой он распространяется. Вероятно, создатели Trojan.HttpBlock.1 использовали одно из готовых решений для подмены интернет-страниц.

Trojan.HttpBlock.1 защищает файл hosts и своё тело от изменений, препятствуя тем самым возможному восстановлению работоспособности системы пользователем либо антивирусом. Для противодействия работе защитного ПО и анализу системы Trojan.HttpBlock.1 завершает работу процессов со следующими именами: taskmgr.exe, regedit.exe, rstrui.exe, msconfig.exe, avz.exe, ccleaner.exe, procexp.exe, httpd.exe, apache.exe, nginx.exe, lighthttpd.exe.

Trojan.HttpBlock.2 выделяется на фоне Trojan.HttpBlock.1 тем, что на заражённом компьютере устанавливает и использует веб-сервер, основанный на Mongoose.

Судя по схожим кодам, которые требуются для разблокировки доступа к сайтам, можно предположить, что оба варианта Trojan.HttpBlock были созданы одной группой лиц.

b4e9a1def9ae38bbe81acdaf089a6faa_1285941

Сообщить об актуальной угрозе

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Тот же .hosts., только сбоку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
    • santy
      RP55, есть у тебя ТГ?
    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
×