Перейти к содержанию
AM_Bot

Опасный троянец подменяет веб-страницы

Recommended Posts

AM_Bot

7 мая 2013 года

Специалисты компании «Доктор Веб» — российского разработчика средств защиты информации — изучили одну из самых распространенных в апреле 2013 года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140. Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа выявленных заражений. Ниже представлены краткие результаты проведенного исследования.

Троянец состоит из двух компонентов: дроппера и динамической библиотеки, в которой и содержится основная вредоносная нагрузка. В процессе установки на компьютер жертвы дроппер создает собственную копию в одной из папок на жестком диске и запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.

java.png

Затем дроппер сохраняет на диск основную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром. Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.

Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.

ya.1.png

В архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
дроппер создает собственную копию

Дописывая, при этом, в конец исходного файла 8 байт, которых хватает, чтобы сбить детект "облачных" вердиктов и сигнатуры Shipup у KL, которые, очевидно, кладёт робот.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Представляет, детект записи Trojan.Mods.1 уже давно обломлен. Например, из "посвежее": https://www.virustotal.com/ru/file/3c4ed0c8...2da37/analysis/

https://www.virustotal.com/ru/file/c37a7137...aa9f2/analysis/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Тебе ж написали в культурной форме:

...количество случаев обнаружения этого троянца составило 3,07%

Т.е., из тех, что сдетектировал сканер в CureIt!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Тебе ж написали в культурной форме:

это кол-во у кого на машине был обнаружен этот троян, при этом уверен, что большая часть из них нажали "No" и пошли качать CureIT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тебе ж написали в культурной форме:

Цитата

...количество случаев обнаружения этого троянца составило 3,07%

Это ни о чем не говорит. Многие действительно могли нажать "No", а потом скачать CureIT или же у них может стоять бабушкина ХРюша, которая еще Борю Ельцина помнит :) Так что 3% ниочем в данном случает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Абсолютно согласен. Тут надо жать ДА не думая. Меня тоже такое спрашивало я жал ДА и все было нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И в итоге твоя Ява все равно не обновилась, выплюнув невразумительную ошибку скачивания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Да сейчас вот такие мошенники и взломщики очень продвинулись, с развитием технологий и различные мошеннические схемы развиваются. Обычные пользователи очень часто становятся жертвами взломов, обычно из-за того что слабо защищают аккаунт, думая, что их это никогда не коснется. Чтобы противостоять взлому необходимо знать определенные секреты защиты аккаунта, мне вот это пригодилось бы год назад, когда меня несколько раз взламывали и я не знал, что делать. Благо друг недавно скинул статью где детально расписано как обезопасить свой аккаунт  , только так смог уже поставить себе толковую защиту, теперь уже спокоен, что никто не взломает и не будет у моих друзей требовать деньги.
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×