Новий троянець підміняє пошукові запити

Новий троянець підміняє пошукові запити

Новий троянець підміняє пошукові запити

Виявлена шкідлива програма BackDoor.Finder, здатна підміняти запити в різних пошукових системах, а також перенаправляти браузер на сайти зловмисників.

Запущений в інфікованій системі, троянець BackDoor.Finder створює власну копію в папці % APPDATA% поточного користувача і вносить відповідні зміни до гілку системного реєстру Windows, що відповідає за автозавантаження додатків. Потім ця шкідлива програма вбудовується у всі запущені процеси. Якщо троянцю вдається впровадитися в процеси браузерів Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape або Avant, він здійснює перехоплення функцій WSPSend, WSPRecv і WSPCloseSocket.

Потім BackDoor.Finder генерує до 20 доменних імен керуючих серверів і послідовно звертається до них, передаючи зашифрований запит. При спробі користувача зараженої машини звернутися до пошуку на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa . com або yandex.com введений запит передається на керуючий сервер, а у відповідь троянець отримує конфігураційний файл зі списком адрес сайтів, на які перенаправлятиметься браузер. В результаті замість веб-сторінки з результатами пошуку користувач побачить у вікні браузера зазначені зловмисниками інтернет-ресурси.

Оскільки фахівцям компанії «Доктор Веб» вдалося визначити використовуваний BackDoor.Finder алгоритм генерації імен командних центрів, було зареєстровано декілька керуючих серверів з метою збору статистики. З’ясувалося, що найбільшого поширення ця троянська програма має на території США.

Залишити коментар

Ваша електронна адреса не буде опублікована.Обов'язкові поля позначені *

*