Trojan.SkynetRef подменяет веб-страницы в браузере
6 октября2011 г.
Компания«Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся случаях заражения троянской программой Trojan.SkynetRef.1, представляющей собой локальный http-прокси сервер, основное назначение которого — подмена веб-страниц в окне браузера.
Для распространения своего детища вирусописатели не поленились создать несколько полноценных веб-сайтов, с использованием которых осуществляется раздача вредоносного программного обеспечения. Среди них следует отметить портал fvsn.org,а также сайты operadownload.info, downloadutorrent.info,downloadflashplayer.biz и др.
При попытке получить какое-либо приложение с одного из принадлежащих злоумышленникам интернет-ресурсов пользователю предлагается скачать и запустить специальную программу-установщик. Это приложение всегда одинаковое, однако, его имя может различаться в зависимости от выбранного пользователем объекта для последующей загрузки. По собственному имени установщик и определяет, что именно желает скачать пользователь: если изменить имя этого файла (как раз это и происходит вслучае его проверки различными автоматизированными службами), установщик прекращает работу. Если же имя оказывается верным, он загружает и устанавливает на компьютере пользователя не только выбранную им легитимную программу, но и троянца Trojan.SkynetRef.1.
Троянец помещается в папку %windir%\system32\ под именем SystemPropertiesAdvancedViewer.exe, после чего загрузчик запускает это вредоносное приложение на выполнение. В результате оно устанавливается в качестве системной службы с именем SystemPropertiesService. Затем, троянец сообщает об успешном завершении инсталляции на удаленный управляющий сервер, а также передает злоумышленникам сведения о собственной версии, версии операционной системы и используемого браузера. Для всех обнаруженных на компьютере браузеров Trojan.SkynetRef.1 прописывает в настройках прокси-сервер 127.0.0.1, работающий на порту 3129. Конфигурацию прокси-сервера троянец сохраняет в файле %windir%\system32\NTIONET6.SYS. После этого вредоносная программа может подменять в браузере страницы просматриваемых пользователем сайтов согласно параметрам, указанным в ее конфигурационном файле.
Сигнатура этой угрозы уже добавлена в вирусные базы Dr.Web, а адреса сайтов, используемых злоумышленниками для распространения вредоносного ПО, включены в базы веб-антивирусаSpIDer Gate. К сожалению, после удаления троянца, в настройках браузера сохраняется ссылка на прокси-сервер, в связи с чем, доступ к веб-страницам по протоколу http может быть затруднен. Пользователям, пострадавшим от действий этой вредоносной программы, рекомендуется изменить данный параметр:
- в Internet Explorer следует сбросить флажок «использовать прокси-сервер для локальных подключений» в окне «Настройка параметров локальной сети» («Сервис» – «Свойства обозревателя» – «Подключения» – «Настройка сети»);
- в Firefox — установить переключатель «Настройка прокси для доступа в Интернет» в позицию «Без прокси» («Инструменты» – «Настройки» – «Дополнительные» – «Сеть» – «Соединение» – «Настроить»);
- в Google Chrome открыть окно «Настройка и управление» – «Параметры» – «Расширенные» – «Изменить настройки прокси-сервера» и, нажав на кнопку «Настройка сети», сбросить флажок «использовать прокси-сервер для локальных подключений»;
- в Opera открыть окно «Настройки» - «Общие настройки», перейти ко вкладке «Расширенные» - «Сеть», нажать на кнопку «Прокси-серверы» и удалить все имеющиеся в открывшемся окне настройки.
С уважением,
Служба информации
компании «Доктор Веб»
www.drweb.com