Internet

Groźny trojan atakuje systemy Windows i przekierowuje na niebezpieczne strony WWW

z dnia 2013-05-12
Damian Szymański | Redaktor serwisu benchmark.pl
48 komentarzy Dyskutuj z nami

Firma Doctor Web wykryła groźnego szkodnika, który potrafi przekierowywać ruch sieciowy na niebezpieczne strony WWW.

doctor web wykryto trojana atakującego windows

Rosyjska firma Doctor Web zajmująca się bezpieczeństwem opublikowała kwietniowy raport dotyczący zagrożeń w sieci. W zeszłym miesiącu najczęściej występującym zagrożeniem był Trojan.Mods.1, znany wcześniej jako Trojan.Redirect.140. Według danych zebranych za pomocą narzędzia Dr.Web CureIt!, trojan ten stanowił 3,07% ogólnej liczby zainfekowanych systemów.

Szkodnik Trojan.Mods.1 zbudowany jest z dwóch elementów: dynamicznej biblioteki, czyli modułu, w którym zawarte jest szkodliwe oprogramowanie oraz tzw. droppera, wykorzystywanego w procesie instalacji złośliwego oprogramowania na komputerze ofiary w taki sposób, aby nie zostało ono wykryte przez skanery antywirusowe. W bibliotece, w zaszyfrowanej postaci, przechowywany jest również plik konfiguracyjny, zawierający wszystkie dane niezbędne do pracy Trojan.Mods.1.

W systemie operacyjnym Microsoft Windows Vista dla obejścia systemu Kontroli Kont Użytkowników (ang. UAC), dropper może podszyć się pod aktualizację Java, wymagającą od użytkownika wyrażenia zgody na jej zainstalowanie.

doctor web windows uac

Następnie dropper zapisuje na dysku osobną bibliotekę trojana, która jest wgrywana we wszystkie procesy uruchomione na zainfekowanym komputerze, ale kontynuuje działanie tylko w procesach przeglądarek Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandeks.Brauzer, Rambler Nichrom.

Ten artykuł pochodzi ze strony benchmark.pl

Trojan Trojan.Mods.1 został stworzony w celach zarobkowych. Jego działanie polega na tym, że klikając w dany wynik wyszukiwania w przeglądarce, użytkownik nie przechodzi na wybraną stronę, ale zostaje przekierowany na niechciany, należący do cyberprzestępców adres WWW. Dzieje się tak poprzez przechwycenie funkcji systemowych odpowiedzialnych za tłumaczenie nazw w systemie DNS na odpowiadające im adresy IP.

Za każdym razem przekierowanie na fałszywą stronę związane jest również z próbą wyłudzenia pieniędzy. W tym celu użytkownik może zostać na przykład poproszony o podanie telefonu komórkowego czy odpowiedzenie na smsa premium otrzymanego z numeru 4012.

W budowie Trojan.Mods.1 wykorzystany został specjalny algorytm, który pozwala wyłączyć funkcję przekierowania przeglądarki w przypadku konkretnej grupy adresów WWW.

Sygnatura nowego, złośliwego oprogramowania została dodana do antywirusowych baz danych Dr.Web, dlatego też Trojan.Mods.1 nie stanowi zagrożenia dla użytkowników oprogramowania Dr.Web.

Źródło: Doctor Web, inf. prasowa

marketplace

Komentarze

48
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    A ja mam antywirusa i firewalla i nigdy nie musiałem robić formata...
    Zaloguj się
  • avatar
    Mam antywirusa i nie robiłem formata od 3 lat.
  • avatar
    Ostatnie zdanie pokazuje dokładnie jaką bzdurą i próbą reklamy jest ten trojan. A jeśli nawet nie jest bzdurą to jestem ciekaw ile firma Doktor web sama przyłożyła do jego stworzenia.
  • avatar
    Ja mam antywirusa od roku i do tej pory NIC nie wykrył, to samo Malware bytes. Mi się wydaje, że wirusy zgarniają Ci co wchodzą po stronki typu "polskie gorące dziewczyny", reszta przypadków to tylko mały odsetek.
    Zaloguj się
  • avatar
    Ja na prawdę nie wiem skąd ludzie biorą ten syf. Od kilku lat jedyne wirusy jakie mi antywirus wykrywał to z pendrive-a innych osób. Problemów z systemem pomimo antywirusa też nigdy nie miałem.
    Zaloguj się
  • avatar
    W budowie Trojan.Mods.1 wykorzystany został specjalny algorytm, który pozwala wyłączyć funkcję przekierowania przeglądarki w przypadku konkretnej grupy adresów WWW.

    Ciekawe, ponieważ od paru dni na laptopie nie mogę ustawić strony głównej w Chrome, otwierają się automatycznie 3 strony, ask, fb, twitter....
    Zaloguj się
  • avatar
    Mam się bać?

    Ja w przeciwieństwie do przesadnych konserwatystów stosuję UAC, skanery na żądanie i codzienna, podstawowa i szybka kontrola działających procesów i usług. Jak jest wirus nawet złośliwy, to mam niemal pewność że skuteczniej go usunę niż jakby miał się tym zająć antywirus który przeora mi połowę systemu operacyjnego.
    Antywirusy są pożyteczne gdy sufrujemy po pornosach, używamy bankowości internetowej czy posiada ważne dane w internecie. Zwykłemu użytkownikowi, w dodatku zaawansowanemu antywirus wprowadza jedynie zbędne obciążenie systemu.

    Tyle odemnie : ]
    Zaloguj się
  • avatar
    AVAST i wszystko jasne ...
  • avatar
    windy używam TYLKO do grania. Reszta LINUX!!! FTW!
    Zaloguj się
  • avatar
    Spokojnie to tylko kolejna akcja promocyjna Microsoft mająca na celu pokazać wyższość Windows 8 nad starszymi systemami.
  • avatar
    "Najlepiej oczywiście gdy omijamy XXX, cracki itp"
    Większej bzdury nie widziałem
    AV może widzieć w cracku/keygenie "coś"
    bo dany plik będzie modyfikował grę/program a tak na prawdę tam nic nie ma
    Jak ktoś chce i ma jaja niech sobie zmieni nazwę PC w sieci np. na
    AL-KAIDA ja tak pól roku temu zrobiłem ale atakowali PC hehe
    Bit defender i Kasper przeszli jako jedyni test :)
    gdyby wierzyć google to jeden z adresów należał do pewnej organizacji rządowej w USA na literę "C" ;)
    Zaloguj się
    -3
  • avatar
    A ja korzystam z linuksa i 99% malware od razu to eliminuje, bo są pisane pod windowsa. Jedyne syfy, jakie znajduję to "złośliwe" ciasteczka (OMG!).
  • avatar
    otóż to jak też nie mam antywirusa od paru lat i robiłem ze 2 formaty a kolega który ma antywirusa i firewalla robił w ciągu tego roku już 2 formaty dysku.
    Zaloguj się
    -10
  • avatar
    Nie mam żadnego antywirusa i od roku nie muszę robić formata. Żadnych problemów. Z Antywirusami średnio co pół roku robiłem.
    Zaloguj się
    -26
  • avatar
    a tak pozatym co za lewus robi ubdate jakiejś wtyczki bo mu komunikat wyskakuje... jak cche cos akutalizowac to wchdoze na oficialną strone i ściągam stamtąd to co chce ;/
  • avatar
    "zbędne obciążenie systemu"
    Zwłaszcza taki kingsoft antivirus działający w chmurze : )