Перейти к содержанию
AM_Bot

Новые схемы подмены страниц в браузере

Recommended Posts

AM_Bot

Компания "Доктор Веб" сообщает о появлении нового класса вредоносных программ Trojan.HttpBlock, которые блокируют доступ к популярным интернет-сайтам. В отличие от семейства Trojan.Hosts, Trojan.HttpBlock перенаправляет пользователя не на вредоносный сайт, расположенный в Интернете, а на устанавливаемый троянцем на заражаемом компьютере веб-сервер.

Начало распространения программ класса Trojan.HttpBlock было зафиксировано 22 сентября 2010 г. На 1 октября 2010 года обнаружено 2 семейства Trojan.HttpBlock, несколько отличающихся между собой по функционалу. На данный момент оба варианта Trojan.HttpBlock с отображаемых в браузерах страниц требуют отправить платное SMS-сообщение на номер 6681 за восстановление доступа к сайтам.

Trojan.HttpBlock.1 имеет больше модификаций, чем Trojan.HttpBlock.2. Эти вредоносные программы не изменяют сам файл hosts, полагаясь на то, что это сделает другой компонент вредоносной программы, в коплекте с которой он распространяется. Вероятно, создатели Trojan.HttpBlock.1 использовали одно из готовых решений для подмены интернет-страниц.

Trojan.HttpBlock.1 защищает файл hosts и своё тело от изменений, препятствуя тем самым возможному восстановлению работоспособности системы пользователем либо антивирусом. Для противодействия работе защитного ПО и анализу системы Trojan.HttpBlock.1 завершает работу процессов со следующими именами: taskmgr.exe, regedit.exe, rstrui.exe, msconfig.exe, avz.exe, ccleaner.exe, procexp.exe, httpd.exe, apache.exe, nginx.exe, lighthttpd.exe.

Trojan.HttpBlock.2 выделяется на фоне Trojan.HttpBlock.1 тем, что на заражённом компьютере устанавливает и использует веб-сервер, основанный на Mongoose.

Судя по схожим кодам, которые требуются для разблокировки доступа к сайтам, можно предположить, что оба варианта Trojan.HttpBlock были созданы одной группой лиц.

b4e9a1def9ae38bbe81acdaf089a6faa_1285941

Сообщить об актуальной угрозе

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Тот же .hosts., только сбоку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×