Троянец подменя заявките за търсене

Нов вирус подменя заявките за търсене в различни системи и насочва потребителите към зловредни сайтове, предупреди компанията за сигурност Доктор Уеб.

Троянецът BackDoor.Finder създава собствено копие в папката %APPDATA% на текущия потребител и внася промени в системния регистър на Windows, отговорен за автоматичното зареждане на приложения. След това зловредната програма се вгражда във всички пуснати процеси.

Ако успее да влезе в процесите на браузърите Internet Explorer, Firefox, Maxtron, Chrome, Safari, Opera, Netscape или Avant, троянецът прихваща функциите WSPSend, WSPRecv и WSPCloseSocket и започна да генерира до 20 домейн имена на управляващи сървъри и последователно да се обръща към тях, предавайки кодирани заявки.

При опит от страна на потребителя на заразената машина да търси в Google, Bing, Yahoo, Ask, AOL и други системи, неговата заявка се предава на управляващия сървър, а в отговор троянецът получава конфигурационен файл със списък от адреси на сайтове, към които се пренасочват браузърите. Така, вместо страници с резултати от търсенето, потребителят ще види в прозореца на браузъра зловредните уеб ресурси.

Специалистите на Доктор Уеб са успели да разкрият няколко управляващи сървъра за събиране на информация. Установено е също, че BackDoor.Finder се разпространява предимно на територията на САЩ, най-вече в Канзас, Ню Джърси, Охайо и Алабама.

Коментар