Новые схемы подмены страниц в браузере - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Новые схемы подмены страниц в браузере

Recommended Posts

AM_Bot

Компания "Доктор Веб" сообщает о появлении нового класса вредоносных программ Trojan.HttpBlock, которые блокируют доступ к популярным интернет-сайтам. В отличие от семейства Trojan.Hosts, Trojan.HttpBlock перенаправляет пользователя не на вредоносный сайт, расположенный в Интернете, а на устанавливаемый троянцем на заражаемом компьютере веб-сервер.

Начало распространения программ класса Trojan.HttpBlock было зафиксировано 22 сентября 2010 г. На 1 октября 2010 года обнаружено 2 семейства Trojan.HttpBlock, несколько отличающихся между собой по функционалу. На данный момент оба варианта Trojan.HttpBlock с отображаемых в браузерах страниц требуют отправить платное SMS-сообщение на номер 6681 за восстановление доступа к сайтам.

Trojan.HttpBlock.1 имеет больше модификаций, чем Trojan.HttpBlock.2. Эти вредоносные программы не изменяют сам файл hosts, полагаясь на то, что это сделает другой компонент вредоносной программы, в коплекте с которой он распространяется. Вероятно, создатели Trojan.HttpBlock.1 использовали одно из готовых решений для подмены интернет-страниц.

Trojan.HttpBlock.1 защищает файл hosts и своё тело от изменений, препятствуя тем самым возможному восстановлению работоспособности системы пользователем либо антивирусом. Для противодействия работе защитного ПО и анализу системы Trojan.HttpBlock.1 завершает работу процессов со следующими именами: taskmgr.exe, regedit.exe, rstrui.exe, msconfig.exe, avz.exe, ccleaner.exe, procexp.exe, httpd.exe, apache.exe, nginx.exe, lighthttpd.exe.

Trojan.HttpBlock.2 выделяется на фоне Trojan.HttpBlock.1 тем, что на заражённом компьютере устанавливает и использует веб-сервер, основанный на Mongoose.

Судя по схожим кодам, которые требуются для разблокировки доступа к сайтам, можно предположить, что оба варианта Trojan.HttpBlock были созданы одной группой лиц.

b4e9a1def9ae38bbe81acdaf089a6faa_1285941

Сообщить об актуальной угрозе

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Тот же .hosts., только сбоку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×