10 октября 2011, 10:21

Trojan.SkynetRef подменяет веб-страницы в браузере

«Доктор Веб» предупреждает пользователей об участившихся случаях заражения троянской программой Trojan.SkynetRef.1, представляющей собой локальный http-прокси сервер, основное назначение которого — подмена веб-страниц в окне браузера.

Для распространения своего детища вирусописатели не поленились создать несколько полноценных веб-сайтов, с использованием которых осуществляется раздача вредоносного программного обеспечения. Среди них следует отметить портал fvsn.org, а также сайты operadownload.info, downloadutorrent.info, downloadflashplayer.biz и др.

При попытке получить какое-либо приложение с одного из принадлежащих злоумышленникам интернет-ресурсов пользователю предлагается скачать и запустить специальную программу-установщик. Это приложение всегда одинаковое, однако его имя может различаться в зависимости от выбранного пользователем объекта для последующей загрузки. По собственному имени установщик и определяет, что именно желает скачать пользователь: если изменить имя этого файла (как раз это и происходит в случае его проверки различными автоматизированными службами), установщик прекращает работу. Если же имя оказывается верным, он загружает и устанавливает на компьютере пользователя не только выбранную им легитимную программу, но и троянца Trojan.SkynetRef.1.

Троянец помещается в папку %windir%\system32\ под именем SystemPropertiesAdvancedViewer.exe, после чего загрузчик запускает это вредоносное приложение на выполнение. В результате оно устанавливается в качестве системной службы с именем SystemPropertiesService. Затем троянец сообщает об успешном завершении инсталляции на удаленный управляющий сервер, а также передает злоумышленникам сведения о собственной версии, версии операционной системы и используемого браузера. Для всех обнаруженных на компьютере браузеров Trojan.SkynetRef.1 прописывает в настройках прокси-сервер 127.0.0.1, работающий на порту 3129. Конфигурацию прокси-сервера троянец сохраняет в файле %windir%\system32\NTIONET6.SYS. После этого вредоносная программа может подменять в браузере страницы просматриваемых пользователем сайтов согласно параметрам, указанным в ее конфигурационном файле.

 

Оцените новость:
  • 0 оценок