Новости

6 февраля 2013 г

Неуловимый троян встраивается в браузер, показывая выплывающие окна

Корпорация Symantec сообщает об обнаружении троянской программы, которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Программа использует Sender Policy Framework (SPF) для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты.

Для вирусописателей очень важно иметь надежную связь между их вредоносной программой, оперирующей на зараженных компьютерах, и собственным сервером так, чтобы вредоносная программа могла получать команды и обновления в любое время. Однако на пути взаимодействия между вредоносной программой и сервером управления может стоять шлюз либо локальный брандмауэр или их соединение может блокироваться системой предотвращений вторжений (Intrusion Prevention System, IPS). Поэтому авторы вредоносных программ пытаются обойти подобные средства защиты. Недавно эксперты Symantec обнаружили троянскую программу, которая использует для этих целей технологию SPF (Sender Policy Framework – среда политик отправителя), изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок.

Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки.

Идея автора вредоносной программы состоит в том, что при использовании SPF домен или IP-адрес может быть получен через DNS-запрос, при этом сам запрос не обязательно должен исходить непосредственно от зараженного компьютера. Обычно в сети присутствует локальный кеширующий DNS-сервер, который отправляет запросы, полученные с локальных компьютеров, от своего имени.

Недавно специалистами из Symantec был обнаружен троянец (идентифицируемый продуктами Symantec как Trojan.Spachanel symantec.com/security_response/writeup.jsp?docid=2013-011808-1714-99), который использует SPF. Вирус взламывает веб-браузер и встраивает вредоносный контент в каждую HTML-страницу.

Для передачи вредоносных доменов и IP-адресов автор вируса решил воспользоваться SPF (скорее всего для того, чтобы спрятать взаимодействие с ними в легитимных DNS-запросах). Если вредоносная программа пытается соединиться с сервером злоумышленника через порт с большим номером по стандартному протоколу, то она может быть заблокирована шлюзом, брандмауэром или системой предотвращения вторжений. В некоторых случаях определенные домены блокируются локальным DNS-сервером, однако этот вирус создает запрос к домену, который чаще всего проходит через большинство фильтров. Более того, DNS-запросы, как правило, отправляются не напрямую – обычно в сети присутствует кеширующий DNS-сервер, что сильно снижает вероятность блокировки данного запроса брандмауэром. Таким образом, злоумышленник получает возможность поддерживать стабильную связь между вредоносной программой и управляющим сервером.

После инфицирования встроенный JavaScript-тег загружает вредоносный контент, который создает всплывающее окно в нижнем левом углу окна браузера. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Таким образом, поскольку Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах.

Согласно тестам Symantec, если кликать на кнопки окон PC Speed Test и PC Performer Test, пользователь перенаправляется на сайт, предлагающий для загрузки потенциально опасное содержимое. Всплывающее окно How fast can you build your muscle mass? (Как быстро вы можете набрать мышечную массу?) похоже на рекламный баннер, а нажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с captcha-изображением наблюдалось лишь в одной атаке, и пока не определено, какая атака за ним стоит.

Очевидно, что целью этих атак является зарабатывание денег за счет предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам.

Для обеспечения безопасности эксперты из Symantec рекомендуют вам пользоваться лишь актуальными версиями антивирусного ПО и своевременно устанавливать обновления всех ваших программных продуктов.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

18 октября 2013 г

 • Fujifilm XQ1: компактная камера Х-серии
 • Обновление Kaspersky Security для SharePoint Server
 • Fujifilm X-E2: эволюция легендарной X-E1
 • UserGate Web Filter с глубоким анализом контента

17 октября 2013 г

 • Обрано оператора домену .УКР
 • Android-троянец скрывается от антивирусов, используя очередную уязвимость
 • Розетка, которая всегда под рукой
 • "Яндекс" выяснил, что украинцы ищут о свадьбе
 • Седьмая версия продуктов ESET NOD32 Antivirus и ESET Smart Security
 • МТС снижает стоимость мобильного Интернета в роуминге
 • Ультратонкий внешний накопитель ADATA Dash Drive Elite SE720
 • Объективы Sony с байонетом E для полнокадровой матрицы

16 октября 2013 г

 • Philips открывает путь к хирургии для Google Glass
 • Нові зміни в складі членів ІнАУ
 • Киевстар приглашает студентов на стажировку
 • «Лаборатория Касперского» совершенствует защиту для мобильных устройств
 • Autodesk приобретает технологии Graitec по проектированию конструкций

15 октября 2013 г

 • Mio Technology заключила договор с компанией «Навигатор»
 • Horizon – платформа браузерных расширений для операторов мобильной связи
 • В Харькове открылся крупнейший датацентр в Восточной Украине «Onehostpower»