Опасный троянец подменяет веб-страницы - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Опасный троянец подменяет веб-страницы

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

7 мая 2013 года

Специалисты компании «Доктор Веб» — российского разработчика средств защиты информации — изучили одну из самых распространенных в апреле 2013 года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140. Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа выявленных заражений. Ниже представлены краткие результаты проведенного исследования.

Троянец состоит из двух компонентов: дроппера и динамической библиотеки, в которой и содержится основная вредоносная нагрузка. В процессе установки на компьютер жертвы дроппер создает собственную копию в одной из папок на жестком диске и запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.

java.png

Затем дроппер сохраняет на диск основную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром. Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.

Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.

ya.1.png

В архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
дроппер создает собственную копию

Дописывая, при этом, в конец исходного файла 8 байт, которых хватает, чтобы сбить детект "облачных" вердиктов и сигнатуры Shipup у KL, которые, очевидно, кладёт робот.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Представляет, детект записи Trojan.Mods.1 уже давно обломлен. Например, из "посвежее": https://www.virustotal.com/ru/file/3c4ed0c8...2da37/analysis/

https://www.virustotal.com/ru/file/c37a7137...aa9f2/analysis/

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Тебе ж написали в культурной форме:

...количество случаев обнаружения этого троянца составило 3,07%

Т.е., из тех, что сдетектировал сканер в CureIt!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
Тебе ж написали в культурной форме:

это кол-во у кого на машине был обнаружен этот троян, при этом уверен, что большая часть из них нажали "No" и пошли качать CureIT.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано
Тебе ж написали в культурной форме:

Цитата

...количество случаев обнаружения этого троянца составило 3,07%

Это ни о чем не говорит. Многие действительно могли нажать "No", а потом скачать CureIT или же у них может стоять бабушкина ХРюша, которая еще Борю Ельцина помнит :) Так что 3% ниочем в данном случает.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

OlegAndr    236

OlegAndr
Опубликовано
у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Абсолютно согласен. Тут надо жать ДА не думая. Меня тоже такое спрашивало я жал ДА и все было нормально.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

И в итоге твоя Ява все равно не обновилась, выплюнув невразумительную ошибку скачивания.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 ---------------------------------------------------------
       4.99.14
      ---------------------------------------------------------
       o Исправлена ошибка при подключении к удаленному компьютеру с Win11:
         в удаленную систему не передавалась база известных файлов.

       o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан
         в settings.ini или он был равен 0.
       
×