Trojan.Win32.DNSChanger - это троян- бэкдор, который перенаправляет пользователей на различные вредоносные веб-сайты, изменяянастройки DNS на компьютере жертвы. Вредоносная штамм был впервые обнаружен Центр Майкрософт по защите от вредоносных программ 7 декабря 2006 года [1] , а затем обнаружен McAfee Labs по 19 апреля 2009 года [2]
Поведение
Троянские программы смены DNS попадают в зараженные системы с помощью других вредоносных программ, таких как TDSS или Koobface . [3] Троян - это вредоносный исполняемый файл Windows, который не может распространяться на другие компьютеры. Таким образом, он выполняет несколько действий от имени злоумышленника на скомпрометированном компьютере, например, изменение настроек DNS для перенаправления трафика на нежелательные, потенциально незаконные и / или вредоносные домены. [2] [1]
Win32.DNSChanger
Троян используется организованными преступными синдикатами для поддержания нажмите мошенничества . Действия пользователя в браузере регулируются с помощью различных средств модификации (таких как изменение места назначения законной ссылки, которая затем будет перенаправлена на другой сайт), что позволяет злоумышленникам получать доход от схем онлайн-рекламы с оплатой за клик . Троян обычно представляет собой небольшой файл (+/- 1,5 килобайта), который предназначен для изменения значения ключа реестра на настраиваемый IP-адрес или домен, зашифрованный в теле самого трояна. В результате этого изменения устройство жертвы будет связываться с недавно назначенным DNS-сервером для разрешения имен вредоносных веб-серверов . [4] NameServer
Компания Trend Micro описала следующее поведение Win32.DNSChanger
:
- Направление неосведомленных пользователей на вредоносные веб-сайты : эти сайты могут быть фишинговыми страницами, которые подделывают известные сайты, чтобы обманом заставить пользователей передать конфиденциальную информацию. Например, пользователь, который хочет посетить сайт iTunes , вместо этого по незнанию перенаправляется на мошеннический сайт.
- Замена рекламы на законных сайтах . Посещение определенных сайтов может показывать пользователям с зараженными системами набор объявлений, отличный от тех, чьи системы не заражены.
- Контроль и перенаправление сетевого трафика : пользователям зараженных систем может быть отказано в доступе для загрузки важных обновлений ОС и программного обеспечения от таких поставщиков, как Microsoft, и от соответствующих поставщиков средств обеспечения безопасности.
- Распространение дополнительных вредоносных программ : зараженные системы более подвержены заражению другими вредоносными программами (например, заражением FAKEAV). [3]
Альтернативные псевдонимы
- Win32: KdCrypt [Cryp] ( Avast )
- TR / Vundo.Gen ( Avira )
- MemScan: Trojan.DNSChanger ( Лаборатории Bitdefender )
- Win.Trojan.DNSChanger ( ClamAV )
- вариант Win32 / TrojanDownloader.Zlob ( ESET )
- Trojan.Win32.Monder ( Лаборатория Касперского )
- Troj / DNSCha ( Sophos )
- Mal_Zlob ( Trend Micro )
- MalwareScope.Trojan.DnsChange ( Антивирус Vba32 )
Другие варианты
- Trojan.Win32.DNSChanger.al
- Компания F-Secure , занимающаяся кибербезопасностью, получила образцы варианта под названием PayPal-2.5.200-MSWin32-x86-2005.exe . В этом случае атрибуция PayPal указала на вероятность фишинг-атаки . [5] Троян был запрограммирован на изменение имени DNS-сервера компьютера жертвы на IP-адрес из диапазона 193.227.xxx.xxx. [6]
- Ключ реестра, на который воздействует этот троян:
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\NameServer
- Другие внесенные изменения в реестр включали создание следующих ключей:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random}
,DhcpNameServer = 85.255.xx.xxx,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random}
,NameServer = 85.255.xxx.133,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
,DhcpNameServer = 85.255.xxx.xxx,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
,NameServer = 85.255.xxx.xxx,85.255.xxx.xxx
[6]
Смотрите также
- DNSChanger
- Перехват DNS
- Чехол Rove Digital
- Злоб троян
Рекомендации
- ^ a b «Троян: Win32 / Dnschanger» . Microsoft Security Intelligence . 7 декабря 2006 . Проверено 16 января 2021 года .
- ^ а б «Профиль вируса: DNSChanger» . McAfee . 19 апреля 2009 года в архив с оригинала на 3 сентября 2017 года . Проверено 16 января 2021 года .
- ^ a b Как троянцы-сменщики DNS направляют пользователей к угрозам - Энциклопедия угроз - Trend Micro USA
- ^ F-Secure. «Троян: W32 / DNSChanger» . Проверено 17 декабря 2018 года . CS1 maint: обескураженный параметр ( ссылка )
- ^ Фишинговая атака поражает подписчиков PayPal | V3
- ^ a b Новости из архива лаборатории: январь 2004 г. - сентябрь 2015 г.
Внешние ссылки
- Как трояны DNS-Changer направляют пользователей к угрозам от TrendMicro
- ФБР: Операция Призрачный щелчок ( F-Secure )
- «Крупнейшее убийство киберпреступников в истории» ( Брайан Кребс @ krebsonsecurity.com )
- Анализ файла DNSChanger на VirusTotal