Перейти к содержанию
AM_Bot

Опасный троянец подменяет веб-страницы

Recommended Posts

AM_Bot

7 мая 2013 года

Специалисты компании «Доктор Веб» — российского разработчика средств защиты информации — изучили одну из самых распространенных в апреле 2013 года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140. Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа выявленных заражений. Ниже представлены краткие результаты проведенного исследования.

Троянец состоит из двух компонентов: дроппера и динамической библиотеки, в которой и содержится основная вредоносная нагрузка. В процессе установки на компьютер жертвы дроппер создает собственную копию в одной из папок на жестком диске и запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.

java.png

Затем дроппер сохраняет на диск основную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром. Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.

Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.

ya.1.png

В архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
дроппер создает собственную копию

Дописывая, при этом, в конец исходного файла 8 байт, которых хватает, чтобы сбить детект "облачных" вердиктов и сигнатуры Shipup у KL, которые, очевидно, кладёт робот.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Представляет, детект записи Trojan.Mods.1 уже давно обломлен. Например, из "посвежее": https://www.virustotal.com/ru/file/3c4ed0c8...2da37/analysis/

https://www.virustotal.com/ru/file/c37a7137...aa9f2/analysis/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Тебе ж написали в культурной форме:

...количество случаев обнаружения этого троянца составило 3,07%

Т.е., из тех, что сдетектировал сканер в CureIt!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Тебе ж написали в культурной форме:

это кол-во у кого на машине был обнаружен этот троян, при этом уверен, что большая часть из них нажали "No" и пошли качать CureIT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тебе ж написали в культурной форме:

Цитата

...количество случаев обнаружения этого троянца составило 3,07%

Это ни о чем не говорит. Многие действительно могли нажать "No", а потом скачать CureIT или же у них может стоять бабушкина ХРюша, которая еще Борю Ельцина помнит :) Так что 3% ниочем в данном случает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Абсолютно согласен. Тут надо жать ДА не думая. Меня тоже такое спрашивало я жал ДА и все было нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И в итоге твоя Ява все равно не обновилась, выплюнув невразумительную ошибку скачивания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×