AM_Bot

Опасный троянец подменяет веб-страницы

В этой теме 9 сообщений

7 мая 2013 года

Специалисты компании «Доктор Веб» — российского разработчика средств защиты информации — изучили одну из самых распространенных в апреле 2013 года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140. Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа выявленных заражений. Ниже представлены краткие результаты проведенного исследования.

Троянец состоит из двух компонентов: дроппера и динамической библиотеки, в которой и содержится основная вредоносная нагрузка. В процессе установки на компьютер жертвы дроппер создает собственную копию в одной из папок на жестком диске и запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.

java.png

Затем дроппер сохраняет на диск основную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром. Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.

Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.

ya.1.png

В архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
дроппер создает собственную копию

Дописывая, при этом, в конец исходного файла 8 байт, которых хватает, чтобы сбить детект "облачных" вердиктов и сигнатуры Shipup у KL, которые, очевидно, кладёт робот.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Представляет, детект записи Trojan.Mods.1 уже давно обломлен. Например, из "посвежее": https://www.virustotal.com/ru/file/3c4ed0c8...2da37/analysis/

https://www.virustotal.com/ru/file/c37a7137...aa9f2/analysis/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Тебе ж написали в культурной форме:

...количество случаев обнаружения этого троянца составило 3,07%

Т.е., из тех, что сдетектировал сканер в CureIt!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тебе ж написали в культурной форме:

это кол-во у кого на машине был обнаружен этот троян, при этом уверен, что большая часть из них нажали "No" и пошли качать CureIT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тебе ж написали в культурной форме:

Цитата

...количество случаев обнаружения этого троянца составило 3,07%

Это ни о чем не говорит. Многие действительно могли нажать "No", а потом скачать CureIT или же у них может стоять бабушкина ХРюша, которая еще Борю Ельцина помнит :) Так что 3% ниочем в данном случает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Абсолютно согласен. Тут надо жать ДА не думая. Меня тоже такое спрашивало я жал ДА и все было нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И в итоге твоя Ява все равно не обновилась, выплюнув невразумительную ошибку скачивания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.
    • Bomborgman
      Точно такая же проблема на Premium-версии.