«Доктор Веб» проинформировал интернет—общественность об очередном трояне

:  Новый зловред, внедрившись в реестр Windows, затем встраивается в рабочие процессы браузеров и затем выдает вместо страницы с «правильной» поисковой выдачей, страницу со ссылками на ресурсы злоумышленников. Пока наибольшее распространение данный троян получил в США. «Доктор Веб» проинформировал о появлении очередного вредоноса – BackDoor.Finder, способного подменять поисковые запросы и перенаправлять пользовательские браузеры на ресурсы злоумышленников.

Распространяется BackDoor.Finder следующим образом: запустившись в зараженной системе, зловред создает свою копию в «%APPDATA%»-папке и делает соответствующие изменения той части реестра Windows, которая ведает автозагрузкой приложений.

Впоследствии троянец встраивается в запущенные процессы и если вредоносу удастся попасть в рабочие процессы браузера, то он перехватывает функции WSPSend, WSPCloseSocket и WSPRecv. После перехвата BackDoor.Finder приступает к генерированию 20 доменов управляющих серверов, затем отправляет на эти сервера зашифрованные запросы.

Как только пользователь зараженного компьютера задаст поиск, введенный запрос автоматически перенаправляется на адрес управляющего сервера, а оттуда в ответ зловреду направляется конфигурационный файл, содержащий URL, на которые браузер будет перенаправлен.

В итоге вместо страницы с поисковой выдачей пользователю отразится в браузерном окне список из составленных злоумышленниками интернет-ресурсов.

Специалистам «Доктора Веба» удалось выявить алгоритм, применяемый BackDoor.Finder для генерации адресов командных центров. Выяснено также, что наиболее этот троянец распространен в США, в частности в таких штатах как Канзас, Нью-Джерси и Огайо с Алабамой.

comments powered by HyperComments

Также читайте