Groźny trojan atakuje systemy Windows i przekierowuje na niebezpieczne strony WWW
Firma Doctor Web wykryła groźnego szkodnika, który potrafi przekierowywać ruch sieciowy na niebezpieczne strony WWW.
Rosyjska firma Doctor Web zajmująca się bezpieczeństwem opublikowała kwietniowy raport dotyczący zagrożeń w sieci. W zeszłym miesiącu najczęściej występującym zagrożeniem był Trojan.Mods.1, znany wcześniej jako Trojan.Redirect.140. Według danych zebranych za pomocą narzędzia Dr.Web CureIt!, trojan ten stanowił 3,07% ogólnej liczby zainfekowanych systemów.
Szkodnik Trojan.Mods.1 zbudowany jest z dwóch elementów: dynamicznej biblioteki, czyli modułu, w którym zawarte jest szkodliwe oprogramowanie oraz tzw. droppera, wykorzystywanego w procesie instalacji złośliwego oprogramowania na komputerze ofiary w taki sposób, aby nie zostało ono wykryte przez skanery antywirusowe. W bibliotece, w zaszyfrowanej postaci, przechowywany jest również plik konfiguracyjny, zawierający wszystkie dane niezbędne do pracy Trojan.Mods.1.
W systemie operacyjnym Microsoft Windows Vista dla obejścia systemu Kontroli Kont Użytkowników (ang. UAC), dropper może podszyć się pod aktualizację Java, wymagającą od użytkownika wyrażenia zgody na jej zainstalowanie.
Następnie dropper zapisuje na dysku osobną bibliotekę trojana, która jest wgrywana we wszystkie procesy uruchomione na zainfekowanym komputerze, ale kontynuuje działanie tylko w procesach przeglądarek Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandeks.Brauzer, Rambler Nichrom.
Trojan Trojan.Mods.1 został stworzony w celach zarobkowych. Jego działanie polega na tym, że klikając w dany wynik wyszukiwania w przeglądarce, użytkownik nie przechodzi na wybraną stronę, ale zostaje przekierowany na niechciany, należący do cyberprzestępców adres WWW. Dzieje się tak poprzez przechwycenie funkcji systemowych odpowiedzialnych za tłumaczenie nazw w systemie DNS na odpowiadające im adresy IP.
Za każdym razem przekierowanie na fałszywą stronę związane jest również z próbą wyłudzenia pieniędzy. W tym celu użytkownik może zostać na przykład poproszony o podanie telefonu komórkowego czy odpowiedzenie na smsa premium otrzymanego z numeru 4012.
W budowie Trojan.Mods.1 wykorzystany został specjalny algorytm, który pozwala wyłączyć funkcję przekierowania przeglądarki w przypadku konkretnej grupy adresów WWW.
Sygnatura nowego, złośliwego oprogramowania została dodana do antywirusowych baz danych Dr.Web, dlatego też Trojan.Mods.1 nie stanowi zagrożenia dla użytkowników oprogramowania Dr.Web.
Źródło: Doctor Web, inf. prasowa
Komentarze
48Ciekawe, ponieważ od paru dni na laptopie nie mogę ustawić strony głównej w Chrome, otwierają się automatycznie 3 strony, ask, fb, twitter....
Ja w przeciwieństwie do przesadnych konserwatystów stosuję UAC, skanery na żądanie i codzienna, podstawowa i szybka kontrola działających procesów i usług. Jak jest wirus nawet złośliwy, to mam niemal pewność że skuteczniej go usunę niż jakby miał się tym zająć antywirus który przeora mi połowę systemu operacyjnego.
Antywirusy są pożyteczne gdy sufrujemy po pornosach, używamy bankowości internetowej czy posiada ważne dane w internecie. Zwykłemu użytkownikowi, w dodatku zaawansowanemu antywirus wprowadza jedynie zbędne obciążenie systemu.
Tyle odemnie : ]
Większej bzdury nie widziałem
AV może widzieć w cracku/keygenie "coś"
bo dany plik będzie modyfikował grę/program a tak na prawdę tam nic nie ma
Jak ktoś chce i ma jaja niech sobie zmieni nazwę PC w sieci np. na
AL-KAIDA ja tak pól roku temu zrobiłem ale atakowali PC hehe
Bit defender i Kasper przeszli jako jedyni test :)
gdyby wierzyć google to jeden z adresów należał do pewnej organizacji rządowej w USA na literę "C" ;)
Zwłaszcza taki kingsoft antivirus działający w chmurze : )