Компания «Доктор Веб» — ведущий российский
разработчик средств информационной безопасности — предупреждает
пользователей об участившихся случаях заражения троянской программой Trojan.SkynetRef.1, представляющей собой локальный http-прокси сервер, основное назначение которого — подмена веб-страниц в окне браузера.
Для распространения своего детища вирусописатели не поленились
создать несколько полноценных веб-сайтов, с использованием которых
осуществляется раздача вредоносного программного обеспечения. Среди них
следует отметить портал fvsn.org, а также сайты operadownload.info, downloadutorrent.info, downloadflashplayer.biz и др.
|
|
При попытке получить какое-либо приложение с одного из принадлежащих
злоумышленникам интернет-ресурсов пользователю предлагается скачать и
запустить специальную программу-установщик. Это приложение всегда
одинаковое, однако его имя может различаться в зависимости от выбранного
пользователем объекта для последующей загрузки. По собственному имени
установщик и определяет, что именно желает скачать пользователь: если
изменить имя этого файла (как раз это и происходит в случае его проверки
различными автоматизированными службами), установщик прекращает работу.
Если же имя оказывается верным, он загружает и устанавливает на
компьютере пользователя не только выбранную им легитимную программу, но и
троянца Trojan.SkynetRef.1.
Троянец помещается в папку %windir%\system32\ под именем
SystemPropertiesAdvancedViewer.exe, после чего загрузчик запускает это
вредоносное приложение на выполнение. В результате оно устанавливается в
качестве системной службы с именем SystemPropertiesService. Затем
троянец сообщает об успешном завершении инсталляции на удаленный
управляющий сервер, а также передает злоумышленникам сведения о
собственной версии, версии операционной системы и используемого
браузера. Для всех обнаруженных на компьютере браузеров Trojan.SkynetRef.1
прописывает в настройках прокси-сервер 127.0.0.1, работающий на порту
3129. Конфигурацию прокси-сервера троянец сохраняет в файле %windir%\system32\NTIONET6.SYS.
После этого вредоносная программа может подменять в браузере страницы
просматриваемых пользователем сайтов согласно параметрам, указанным в
ее конфигурационном файле.
Сигнатура этой угрозы уже добавлена в вирусные базы Dr.Web, а адреса
сайтов, используемых злоумышленниками для распространения вредоносного
ПО, включены в базы веб-антивируса SpIDer Gate. К сожалению, после
удаления троянца в настройках браузера сохраняется ссылка на
прокси-сервер, в связи с чем доступ к веб-страницам по протоколу http
может быть затруднен. Пользователям, пострадавшим от действий этой
вредоносной программы, рекомендуется изменить данный параметр:
- в Internet Explorer следует сбросить флажок «использовать
прокси-сервер для локальных подключений» в окне «Настройка параметров
локальной сети» («Сервис» – «Свойства обозревателя» – «Подключения» –
«Настройка сети»);
- в Firefox — установить переключатель «Настройка прокси для доступа в
Интернет» в позицию «Без прокси» («Инструменты» – «Настройки» –
«Дополнительные» – «Сеть» – «Соединение» – «Настроить»);
- в Google Chrome открыть окно «Настройка и управление» – «Параметры»
– «Расширенные» – «Изменить настройки прокси-сервера» и, нажав на
кнопку «Настройка сети», сбросить флажок «использовать прокси-сервер для
локальных подключений»;
- в Opera открыть окно «Настройки» - «Общие настройки», перейти ко
вкладке «Расширенные» - «Сеть», нажать на кнопку «Прокси-серверы» и
удалить все имеющиеся в открывшемся окне настройки.
|