Опасный троянец подменяет веб-страницы - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Опасный троянец подменяет веб-страницы

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

7 мая 2013 года

Специалисты компании «Доктор Веб» — российского разработчика средств защиты информации — изучили одну из самых распространенных в апреле 2013 года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140. Согласно статистическим данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа выявленных заражений. Ниже представлены краткие результаты проведенного исследования.

Троянец состоит из двух компонентов: дроппера и динамической библиотеки, в которой и содержится основная вредоносная нагрузка. В процессе установки на компьютер жертвы дроппер создает собственную копию в одной из папок на жестком диске и запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.

java.png

Затем дроппер сохраняет на диск основную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром. Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.

Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва идет на поводу у мошенников, то с ее счета списывается определенная сумма.

ya.1.png

В архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
дроппер создает собственную копию

Дописывая, при этом, в конец исходного файла 8 байт, которых хватает, чтобы сбить детект "облачных" вердиктов и сигнатуры Shipup у KL, которые, очевидно, кладёт робот.

Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web, и потому Trojan.Mods.1 не представляет угрозы для пользователей программных продуктов «Доктор Веб».

Представляет, детект записи Trojan.Mods.1 уже давно обломлен. Например, из "посвежее": https://www.virustotal.com/ru/file/3c4ed0c8...2da37/analysis/

https://www.virustotal.com/ru/file/c37a7137...aa9f2/analysis/

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
Интересно, какой процент идиотов, которые кликнут "Yes" на такой запрос UAC? Это надо быть полностью без башни :)

Тебе ж написали в культурной форме:

...количество случаев обнаружения этого троянца составило 3,07%

Т.е., из тех, что сдетектировал сканер в CureIt!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
Тебе ж написали в культурной форме:

это кол-во у кого на машине был обнаружен этот троян, при этом уверен, что большая часть из них нажали "No" и пошли качать CureIT.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано
Тебе ж написали в культурной форме:

Цитата

...количество случаев обнаружения этого троянца составило 3,07%

Это ни о чем не говорит. Многие действительно могли нажать "No", а потом скачать CureIT или же у них может стоять бабушкина ХРюша, которая еще Борю Ельцина помнит :) Так что 3% ниочем в данном случает.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

OlegAndr    236

OlegAndr
Опубликовано
у половины уак вырублен, а другая половина на такие вопросы жмет "да" без чтения надписи, т.к винда всегда такое спрашивает и надо жать "да"...

Абсолютно согласен. Тут надо жать ДА не думая. Меня тоже такое спрашивало я жал ДА и все было нормально.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

И в итоге твоя Ява все равно не обновилась, выплюнув невразумительную ошибку скачивания.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      При работе с программой оператором зачастую выполняются одни и те же действия. Предлагаю в стартовое меню добавить команду: Выполнить определённое действие: 1 - 2 - 3 Пример: 1 - Запустить под текущим пользователем > Открыть категорию Скрипты > Применить F4 Или 2 - Для работы с удалённым PC по схеме... и т.д.  
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.1.12. В числе прочего добавлена функция «Защита экрана браузера».
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      По мелочи: 1) В меню: Тесты > Тест на АКТИВНЫЕ файловые вирусы
      Так вот, если просто закрыть окно по Esc ( не нажимая ОК ) программа всё равно начнёт поиск... 2) В меню: Файл > Восстановить реестр.
      Пример из лога:
      Выполнено за 1,423 сек.
      Указанный каталог не содержит полной и доступной для чтения копии реестра.
      ----
      Выполнено за 1,423 сек. Что выполнено ?
      Как-то совсем нехорошо звучит. Не нужно так пугать.  :)
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.5
      ---------------------------------------------------------
       o Исправлена ошибка в функции "Отобразить цепочку запуска процесса" в окне Истории процессов и задач.
         Функция могла зациклиться на конечном процессе цепочки, что приводило к подвисанию uVS.

       o Исправлена ошибка в функции проверки переменных окружения при работе с неактивной системой.

       o В лог добавлен вывод состояния флагов защиты uVS.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Ага, есть такое, исправлю. При включенном отслеживании или наличии драйвера данные оттуда не берутся, во всех версиях uVS. Такого не наблюдаю.
         
×