Компания «Доктор Веб» сообщает о распространении вредоносной программы BackDoor.Finder, способной подменять запросы в различных поисковых системах, а также перенаправлять браузер на сайты злоумышленников.
Запустившись
в инфицированной системе, троянец BackDoor.Finder создает собственную
копию в папке %APPDATA% текущего пользователя и вносит соответствующие
изменения в ветвь системного реестра Windows, отвечающую за автозагрузку
приложений. Затем эта вредоносная программа встраивается во все
запущенные процессы. Если троянцу удается внедриться в процессы
браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome,
Safari, Mozilla, Opera, Netscape или Avant, он осуществляет перехват
функций WSPSend, WSPRecv и WSPCloseSocket.
Затем BackDoor.Finder
генерирует до 20 доменных имен управляющих серверов и последовательно
обращается к ним, передавая зашифрованный запрос. При попытке
пользователя зараженной машины обратиться к поиску на google.com,
bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com,
search.xxx, www.wiki.com, www.alexa.com или yandex.com введенный запрос
передается на управляющий сервер, а в ответ троянец получает
конфигурационный файл со списком адресов сайтов, на которые будет
перенаправляться браузер. В результате вместо веб-страницы с
результатами поиска пользователь увидит в окне браузера указанные
злоумышленниками интернет-ресурсы.
Поскольку специалистам
компании «Доктор Веб» удалось определить используемый BackDoor.Finder
алгоритм генерации имен командных центров, было зарегистрировано
несколько управляющих серверов с целью сбора статистики. Выяснилось, что
наибольшее распространение эта троянская программа имеет на территории
США, причем абсолютным лидером по количеству заражений выступает штат
Канзас, на втором месте находится Нью-Джерси, на третьем — Огайо и
Алабама. Меньше всего случаев инфицирования троянцем BackDoor.Finder
приходится на долю Юты и Мичигана.
|
Главная 
