Неуловимый троян встраивается в браузер, показывая выплывающие окна

Неуловимый троян встраивается в браузер, показывая выплывающие окна

Корпорация Symantec информирует об обнаружении вредоносной программы, которая выводит пользователей на опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон.

Наряду с этим сами открываемые сайты не заражены и по большому счету никак не связаны с содержимым всплывающего окна. Программа применяет Sender Policy Framework (SPF) для обеспечения устойчивой связи между зараженными серверами и компьютерами преступников и обходит типовые средства защиты.

Для разработчиков вирусов крайне важно иметь надежную связь между их вирусом, оперирующей на зараженных компьютерах, и собственным сервером, так, дабы вирус имела возможность приобретать обновления и команды в любое время. Но на пути сотрудничества между сервером управления и вредоносной программой может находиться шлюз либо локальный брандмауэр, либо их соединение может блокироваться совокупностью предотвращений вторжений (intrusion prevention system, IPS).

Исходя из этого авторы вирусов пробуют обойти подобные средства защиты. Сравнительно не так давно специалисты Symantec нашли вредоносную программу, которая применяет для этих целей разработку SPF (Sender Policy Framework – среда политик отправителя), изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок.

Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. В случае если DNS-сервер отправителя настроен на применение SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки.

Мысль автора вредоносной программы пребывает в том, что при применении SPF домен либо IP-адрес возможно взят через DNS-запрос, наряду с этим сам запрос не обязательно обязан исходить конкретно от заражённого компьютера. В большинстве случаев в сети присутствует локальный кэширующий DNS-сервер, что отправляет запросы, полученные с локальных компьютеров, от собственного имени.

Сравнительно не так давно экспертами Symantec был обнаружен троянец (идентифицируемый продуктами Symantec как Trojan.Spachanel), что применяет SPF. Вирус взламывает веб-браузер и встраивает вредоносный контент в каждую HTML-страницу.

Для передачи вредоносных доменов и IP-адресов создатель вируса решил применять SPF, вероятнее чтобы запрятать сотрудничество с ними в легитимных DNS-запросах. В случае если вирус пробует соединиться с сервером преступника через порт с громадным номером по стандартному протоколу, то она возможно заблокирована шлюзом, брандмауэром либо совокупностью предотвращения вторжений.

В некоторых случаях определённые домены блокируются локальным DNS-сервером, но данный вирус формирует запрос к домену, что значительно чаще проходит через большая часть фильтров. Более того, DNS-запросы, в большинстве случаев, отправляются не напрямую – в большинстве случаев в сети присутствует кэширующий DNS-сервер, что очень сильно снижает возможность блокировки данного запроса брандмауэром. Так, преступник поддерживает стабильную связь между управляющим и вредоносной программой сервером.

Встроенный JavaScript-тэг загружает вредоносный контент, что формирует всплывающее окно в нижнем левом углу окнабраузера. Наряду с этим сами открываемые сайты не заражены и по большому счету никак не связаны с содержимым всплывающего окна (на рис. 3 это продемонстрировано на примере основной страницы сайта Symantec).

Так, потому, что Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах.

В соответствии с тестам Symantec, в случае если кликать на кнопки окон «PC Speed Test» и «PC Performer Test», пользователь перенаправляется на сайт, предлагающий для загрузки возможно страшное содержимое. Всплывающее окно«how fast can you build your muscle mass?» (как скоро вы имеете возможность собрать мышечную массу?) похоже на рекламный баннер, анажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с captcha-изображением наблюдалось только в одной атаке, и пока не выяснено, какая атака за ним стоит.

Разумеется, что целью этих атак есть зарабатывание денег за счёт предложения загрузки опасного контента и методом комплекта кликов по рекламным ссылкам.

Для обеспечения безопасности специалисты Symantec советуют вам применять только актуальные предположения противовирусного ПО и вовремя устанавливать обновления всех ваших программных продуктов.

Тэги:Взлом/хак

Источник: SmartPhone.ua

Увлекательные записи:

Как удалить рекламу всплывающие окна из браузеров Google Chrome, Opera, Mozilla


Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.