Обнаружен троян Trojan.Spachanel с управлением через DNS

7/02/2013 11:17

Корпорация Symantec сообщила об обнаружении троянской программы Trojan.Spachanel, которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон. Троян Trojan.Spachanel использует технологию SPF (Sender Policy Framework — среда политик отправителя), изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок, для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты, сообщили в компании. Принцип SPF — это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой строки. «Для передачи вредоносных доменов и IP-адресов автор вируса решил использовать SPF, скорее всего для того, чтобы спрятать взаимодействие с ними в легитимных DNS-запросах, — полагают в Symantec. — Если вредоносная программа пытается соединиться с сервером злоумышленника через порт с большим номером по стандартному протоколу, то она может быть заблокирована шлюзом, брандмауэром или системой предотвращения вторжений». В некоторых случаях определённые домены блокируются локальным DNS-сервером, однако этот вирус создает запрос к домену, который чаще всего проходит через большинство фильтров. Более того, DNS-запросы, как правило, отправляются не напрямую — обычно в сети присутствует кэширующий DNS-сервер, что сильно снижает вероятность блокировки данного запроса брандмауэром. Таким образом, злоумышленник получает возможность поддерживать стабильную связь между вредоносной программой и управляющим сервером, считают специалисты компании. Обнаруженный троян Trojan.Spachanel поражает веб-браузер и встраивает вредоносный контент в каждую HTML-страницу. Встроенный JavaScript-тэг загружает вредоносный контент, который создает всплывающее окно в нижнем левом углу окна браузера. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Таким образом, поскольку Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах, отметили в Symantec. Согласно тестам Symantec, если кликать на кнопки окон «PC Speed Test» и «PC Performer Test», пользователь перенаправляется на сайт, предлагающий для загрузки потенциально опасное содержимое. Всплывающее окно «how fast can you build your muscle mass?» (как быстро вы можете набрать мышечную массу?) похоже на рекламный баннер, а нажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с captcha-изображением наблюдалось лишь в одной атаке, и пока не определено, какая атака за ним стоит. Очевидно, что целью этих атак является зарабатывание денег за счёт предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам, убеждены в Symantec. Для обеспечения безопасности эксперты компании рекомендуют использовать лишь актуальные версии антивирусного ПО и своевременно устанавливать обновления всех программных продуктов.
Источник