Trojan.Win32.DNSChanger

Trojan.Win32.DNSChanger to trojan typu backdoor , który przekierowuje użytkowników do różnych złośliwych stron internetowych poprzez zmianę ustawień DNS komputera ofiary. Szczep złośliwego oprogramowania został po raz pierwszy wykryty przez Microsoft Malware Protection Center 7 grudnia 2006 r., a następnie wykryty przez McAfee Labs 19 kwietnia 2009 r.

Zachowanie

Trojany zmieniające DNS są umieszczane na zainfekowanych systemach za pomocą innych złośliwych programów, takich jak TDSS lub Koobface . Trojan to złośliwy wykonywalny systemu Windows , który nie może rozprzestrzeniać się na inne komputery. W związku z tym wykonuje szereg działań w imieniu osoby atakującej na zaatakowanym komputerze, takich jak zmiana ustawień DNS w celu przekierowania ruchu do niechcianych, potencjalnie nielegalnych i/lub złośliwych domen.

Trojan Win32.DNSChanger jest używany przez syndykaty przestępczości zorganizowanej do utrzymywania fałszywych kliknięć . Aktywność przeglądania użytkownika jest manipulowana za pomocą różnych środków modyfikacji (takich jak zmiana miejsca docelowego legalnego łącza w celu przekierowania do innej witryny), co umożliwia atakującym generowanie przychodów z programów reklamowych online typu pay-per-click” . Trojan jest powszechnie spotykany jako mały plik (+/- 1,5 kilobajta), którego celem jest zmiana klucza rejestru NameServer wartość na niestandardowy adres IP lub domenę, która jest zaszyfrowana w treści samego trojana. W wyniku tej zmiany urządzenie ofiary kontaktowało się z nowo przypisanym serwerem DNS w celu rozpoznania nazw złośliwych serwerów WWW .

Firma Trend Micro opisał następujące zachowania Win32.DNSChanger :

  • Kierowanie nieświadomych użytkowników do złośliwych witryn : te witryny mogą być stronami wyłudzającymi informacje, które podszywają się pod dobrze znane witryny, aby nakłonić użytkowników do przekazania poufnych informacji. Na przykład użytkownik, który chce odwiedzić iTunes , jest zamiast tego nieświadomie przekierowywany na nieuczciwą witrynę.
  • Zastępowanie reklam w legalnych witrynach : odwiedzanie niektórych witryn może wyświetlać użytkownikom zainfekowanych systemów inny zestaw reklam niż tych, których systemy nie są zainfekowane.
  • Kontrolowanie i przekierowywanie ruchu sieciowego : Użytkownicy zainfekowanych systemów mogą nie mieć dostępu do pobierania ważnych aktualizacji systemu operacyjnego i oprogramowania od dostawców takich jak Microsoft oraz od odpowiednich dostawców zabezpieczeń.
  • Wypychanie dodatkowego złośliwego oprogramowania : Zainfekowane systemy są bardziej podatne na inne infekcje złośliwym oprogramowaniem (np. infekcję FAKEAV).

Alternatywne pseudonimy

Inne warianty

  • Trojan.Win32.DNSChanger.al
F-Secure , firma zajmująca się cyberbezpieczeństwem, otrzymała próbki wariantu o nazwie PayPal-2.5.200-MSWin32-x86-2005.exe . W tym przypadku PayPal wskazywała, że ​​atak typu phishing był prawdopodobny. Trojan został zaprogramowany do zmiany nazwy serwera DNS komputera ofiary na adres IP z zakresu 193.227.xxx.xxx.
Klucz rejestru, na który ma wpływ ten trojan, to:
  • HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\NameServer
Inne wprowadzone modyfikacje rejestru obejmowały utworzenie poniższych kluczy:
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random} , DhcpNameServer = 85.255.xx.xxx,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random} , NameServer = 85.255.xxx.133,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ , DhcpNameServer = 85.255.xxx.xxx,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ , serwer nazw = 85.255.xxx.xxx,85.255.xxx.xxx

Zobacz też

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Trojan.Win32.DNSChanger&oldid=1089621036