Специалисты «Доктор Веб» изучили троянское приложение Trojan.Mods.1

Эксперты «Доктор Веб» завершили изучение троянского приложения Trojan.Mods.1, ранее известного как Trojan.Redirect.140. Напомним, в апреле данный вирус был одним из самых распространенных – по статистике антивирусной программы Dr.Web CureIt! зафиксированный процент обнаружения данного вируса составлял 3,07%.

Вредоносное приложение состоит из двух основных модулей – дроппера и библиотеки, в которой и содержится основные вредоносные функции. В момент инсталляции троянского приложения дроппер копирует себя в системный каталог и запускает копию на исполнение. Если пользователь работает в Windows Vista, дроппер может выдавать себя за обновления Java, запрашивая подтверждение на продолжение загрузки. Это позволяет обойти защитный механизм UAC, который требует от пользователя подтверждения определенных действий в операционной системе.

Далее дроппер сохраняет на жестком диске основную библиотеку Trojan.Mods.1, которая автоматически интегрируется во все процессы, запущенные на ПК, но работу продолжает, только если процесс принадлежит обозревателю Internet Explorer, Firefox, Safari, Opera, Chromium, Chrome, Рамблер Нихром, Mail.Ru Интернет или Яндекс.Браузер. Конфигурационный файл, содержащий данные и параметры, необходимые для работы троянской программы, хранится в динамической библиотеке в зашифрованном виде.

Основной вредоносный функционал вируса Trojan.Mods.1 заключается в скрытой подмене открываемых в браузере интернет-страниц путем перехвата функций, которые отвечают за преобразование DNS-имен интернет-ресурсов в IP-адреса. Данные действия приводят к тому, что пользователь попадает на сайт злоумышленников, на котором его просят указать номер телефона и ввести в форму присланный код. Если пользователь производит данные действия, с его лицевого счета снимается определенная сумма.

Архитектура Trojan.Mods.1 включает также алгоритм, позволяющий владельцам отключать перенаправление обозревателя на определенные адреса.





Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: