Новый троян BackDoor.Finder подменяет поисковые запросы

17/01/2013 13:54

Компания «Доктор Веб» информирует пользователей о распространении вредоносной программы BackDoor.Finder, способной подменять запросы в различных поисковых системах, а также перенаправлять браузер на сайты злоумышленников. Запустившись в инфицированной системе, троян BackDoor.Finder создает собственную копию в папке "%APPDATA%" текущего пользователя и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозагрузку приложений. Затем эта вредоносная программа встраивается во все запущенные процессы. Если трояну удается внедриться в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant, он осуществляет перехват функций WSPSend, WSPRecv и WSPCloseSocket. Затем BackDoor.Finder генерирует до 20 доменных имен управляющих серверов и последовательно обращается к ним, передавая зашифрованный запрос. При попытке пользователя зараженной машины обратиться к поиску на "google.com", "bing.com", "yahoo.com", "ask.com", "search.aol.com", "search.icq.com", "search.xxx", "www.wiki.com", "www.alexa.com" или "yandex.com" введенный запрос передается на управляющий сервер, а в ответ троян получает конфигурационный файл со списком адресов сайтов, на которые будет перенаправляться браузер. В результате вместо веб-страницы с результатами поиска пользователь увидит в окне браузера указанные злоумышленниками интернет-ресурсы. Поскольку специалистам компании «Доктор Веб» удалось определить используемый BackDoor.Finder алгоритм генерации имен командных центров, было зарегистрировано несколько управляющих серверов с целью сбора статистики. Выяснилось, что наибольшее распространение эта троянская программа имеет на территории США, причем абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Нью-Джерси, на третьем — Огайо и Алабама. Меньше всего случаев инфицирования троянцем BackDoor.Finder приходится на долю Юты и Мичигана. Несмотря на региональную направленность, существует возможность заражения и в других странах, поэтому не стоит полностью доверять результатам поиска и осмотрительней относится к открытию файлов, полученных из неизвестных источников.
Источник