По данным компании "Доктор Веб" одной из самых распространенных в апреле 2013 года угроз, было распространение трояна Trojan.Mods.1, несколько ранее распространяемого под названием Trojan.Redirect.140. В соответствии со статистическими данными, собранным с помощью лечащей утилиты Dr.Web CureIt!, общее количество случаев с обнаружением этого трояна составило 3,07% от общего количества обнаруженных заражений.
Данный троян состоит из двух частей: дроппера и динамической библиотеки, в которую и встроена основная вредоносная нагрузка.
Для понимания термина “дроппер”: “Птицы-приманки или, как их называют в Великобритании - «дропперы» являются важной деталью... То есть Trojan-Dropper — это обманка специализирующаяся на инсталляции прочих вредоносных программ.Дропперы пишутся с целью скрытной установки на ПК других программ и практически всегда используются для «незаметного пропихивания» на заражённый компьютер вирусов или других специализированных троянских программ.При установке дропперы, как правило без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы), размещают на диске в каком-либо каталоге (например, в корень диска C:, или во временный каталог, или в каталоги Windows) другие файлы и запускают их на выполнение.С помощью использования программ данного класса злоумышленники стремятся достичь двух целей:
В момент инфицирования компьютера дроппер создает собственную копию и размещает её в одной из папок на жестком диске, после чего запускает себя на выполнение. К примеру в ОС Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения, ну и как правило получив такое подтверждение. То есть пользователь своими руками устанавливает троян в систему.
Затем дроппер сохраняет на диске основную библиотеку трояна, которая будет встроена во все запущенные на данном компьютере процессы, однако продолжит работу только в процессах интернет-браузеров Internet Explorer, Safari, Opera, Mozilla Firefox, Google Chrome, Яндекс.Браузер, Chromium, Mail.Ru Интернет, Рамблер Нихром.
Основное назначение Trojan.Mods.1 - подмена посещаемых пользователем веб-страниц страницами принадлежащими злоумышленникам, путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате чего вместо интересующих пользователя интернет-ресурсов он попадает на мошеннические страницы, где от него требуют указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если жертва решает подчиниться мошенникам, то с ее счета исчезает некоторая сумма денег. Аналогичный троян подробно рассмотрен в заметке Модифицированный троян блокирует соцсети пользователя.
Оформлено на Ваш инет мастер.ру
Комментариев нет:
Отправить комментарий