15 января 2013 года
Компания «Доктор Веб» — российский разработчик
средств информационной безопасности — информирует пользователей о
распространении вредоносной программы BackDoor.Finder, способной подменять запросы в различных поисковых системах, а также перенаправлять браузер на сайты злоумышленников.
Запустившись в инфицированной системе, троянец BackDoor.Finder
создает собственную копию в папке %APPDATA% текущего пользователя и
вносит соответствующие изменения в ветвь системного реестра Windows,
отвечающую за автозагрузку приложений. Затем эта вредоносная программа
встраивается во все запущенные процессы. Если троянцу удается внедриться
в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox,
Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant, он
осуществляет перехват функций WSPSend, WSPRecv и WSPCloseSocket.
Затем BackDoor.Finder
генерирует до 20 доменных имен управляющих серверов и последовательно
обращается к ним, передавая зашифрованный запрос. При попытке
пользователя зараженной машины обратиться к поиску на google.com,
bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com,
search.xxx, www.wiki.com, www.alexa.com или yandex.com введенный запрос
передается на управляющий сервер, а в ответ троянец получает
конфигурационный файл со списком адресов сайтов, на которые будет
перенаправляться браузер. В результате вместо веб-страницы с
результатами поиска пользователь увидит в окне браузера указанные
злоумышленниками интернет-ресурсы.
Поскольку специалистам компании «Доктор Веб» удалось определить используемый BackDoor.Finder
алгоритм генерации имен командных центров, было зарегистрировано
несколько управляющих серверов с целью сбора статистики. Выяснилось, что
наибольшее распространение эта троянская программа имеет на территории
США, причем абсолютным лидером по количеству заражений выступает штат
Канзас, на втором месте находится Нью-Джерси, на третьем — Огайо и
Алабама. Меньше всего случаев инфицирования троянцем BackDoor.Finder приходится на долю Юты и Мичигана.
Данная вредоносная программа добавлена в вирусные базы и потому не представляет опасности для пользователей продуктов Dr.Web.
Главная 
