Symantec: новый троян встраивается в браузер, показывая выплывающие окна

ПредыдущаяСледующая
1174

Корпорация Symantec сообщает об обнаружении троянской программы, которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Программа использует Sender Policy Framework (SPF) для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты.

Для вирусописателей очень важно иметь надежную связь между их вредоносной программой, оперирующей на зараженных компьютерах, и собственным сервером, так, чтобы вредоносная программа могла получать команды и обновления в любое время. Однако на пути взаимодействия между вредоносной программой и сервером управления может стоять шлюз или локальный брандмауэр, или их соединение может блокироваться системой предотвращений вторжений (intrusion prevention system, IPS). Поэтому авторы вредоносных программ пытаются обойти подобные средства защиты. Недавно эксперты Symantec обнаружили троянскую программу, которая использует для этих целей технологию SPF (Sender Policy Framework – среда политик отправителя), изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок.

Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки.

Идея автора вредоносной программы состоит в том, что при использовании SPF домен или IP-адрес может быть получен через DNS-запрос, при этом сам запрос не обязательно должен исходить непосредственно от заражённого компьютера. Обычно в сети присутствует локальный кэширующий DNS-сервер, который отправляет запросы, полученные с локальных компьютеров, от своего имени.

Недавно специалистами Symantec был обнаружен троянец (идентифицируемый продуктами Symantec как Trojan.Spachanel), который использует SPF. Вирус взламывает веб-браузер и встраивает вредоносный контент в каждую HTML-страницу. Схема, по которой осуществляется такая атака, представлена ниже.

Для передачи вредоносных доменов и IP-адресов автор вируса решил использовать SPF, скорее всего для того, чтобы спрятать взаимодействие с ними в легитимных DNS-запросах. Если вредоносная программа пытается соединиться с сервером злоумышленника через порт с большим номером по стандартному протоколу, то она может быть заблокирована шлюзом, брандмауэром или системой предотвращения вторжений. В некоторых случаях определённые домены блокируются локальным DNS­-сервером, однако этот вирус создает запрос к домену, который чаще всего проходит через большинство фильтров. Более того, DNS-запросы, как правило, отправляются не напрямую – обычно в сети присутствует кэширующий DNS-сервер, что сильно снижает вероятность блокировки данного запроса брандмауэром. Таким образом, злоумышленник получает возможность поддерживать стабильную связь между вредоносной программой и управляющим сервером.

Встроенный JavaScript-тэг загружает вредоносный контент, который создает всплывающее окно в нижнем левом углу окнабраузера. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна (на рис. 3 это показано на примере главной страницы сайта Symantec). Таким образом, поскольку Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах.

Пока экспертам встречаются следующие четыре типа всплывающих окон:

Четыре типа всплывающих окон, инициируемых вредоносной программой

Согласно тестам Symantec, если кликать на кнопки окон «PC Speed Test» и «PC Performer Test», пользователь перенаправляется на сайт, предлагающий для загрузки потенциально опасное содержимое. Всплывающее окно «how fast can you build your muscle mass?» (как быстро вы можете набрать мышечную массу?) похоже на рекламный баннер, анажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с captcha-изображением наблюдалось лишь в одной атаке, и пока не определено, какая атака за ним стоит.

Очевидно, что целью этих атак является зарабатывание денег за счёт предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам.

Для обеспечения безопасности эксперты Symantec рекомендуют вам использовать лишь актуальные версии антивирусного ПО и своевременно устанавливать обновления всех ваших программных продуктов.

7 февраля 2013 Г.

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Uber хочет запатентовать средства, предотвращающие укачивание в самоуправляемых автомобилях: Правильное освещение, потоки воздуха и вибрирующие сиденья могут препятствовать укачиванию

Аналитики Digitimes Research полагают, что в 2018 году поставки смартфонов превысят 1,5 млрд штук: Этот показатель соответствует росту рынка на 4,8%2

I-O Data DVRP-W 8 AI 2 — привод DVD для смартфонов и планшетов: I-O Data DVRP-W 8 AI 2 поддерживает Wi-Fi 802.11ac1

Серия твердотельных накопителей Colorful Plus включает модели объемом до 640 ГБ: В твердотельных накопителях Colorful Plus используются контроллеры SMI SM2258XT и флэш-память 3D TLC NAND

Функциональность камеры смартфона Razer Phone будет существенно улучшена: Камера Razer Phone получит специальный портретный режим с размытием фона, возможность записи видеороликов с частотой 60 к/с и прочие улучшения

Ассортимент блоков питания SilverStone пополнила модель Essential SST-ET450-B: Мощность блока питания SilverStone Essential SST-ET450-B равна 450 Вт

Apple подготовилась к «Черной Пятнице», сократив время ожидания iPhone X до 1-2 недель: Apple смогла существенно нарастить поставки iPhone X64

Опубликованы фотографии «полноэкранного» смартфона Meizu m1712, оснащенного боковым дактилоскопическим датчиком: Смартфон Meizu m1712 работает под управлением Android 7.0 Nougat7

В базе данных TENAA засветился смартфон Huawei в безрамочном исполнении и с четырьмя камерами: Версии новинки обозначаются HWI-AL00 и HWI-TL0

3D-карта EVGA GeForce GTX 1080 Ti K|NGP|N Hydro Copper оснащена водоблоком и разогнана производителем: Цена новинки, доступной только в фирменном онлайновом магазине, примерно равна $12501

Смартфон Samsung Galaxy A5 (2018), который может выйти под названием Galaxy A8 (2018), засветился на качественных изображениях : Компания Olixar слила в Сеть изображения смартфона Samsung Galaxy A5 (2018)7

Представлен смартфон Xiaomi Mi Mix 2 Starck Edition : Цена Xiaomi Mi Mix 2 Starck Edition составляет 710 долларов2

Слухи: смартфон Xiaomi Mi 7 сохранит цену предшественника и переберется на платформу Snapdragon 845: Выпуск Xiaomi Mi 7 ожидается на стыке первого и второго кварталов 2018 года5

Мег Уитмэн покинет пост генерального директора Hewlett Packard Enterprise: В феврале 2018 года функции гендиректора HPE возьмет на себя Антонио Нери

Смартфон OnePlus 6T может не увидеть свет: Если до конца 2018 у OnePlus не появится причин выпустить OnePlus 6T, то компания не будет делать этого3

Свежий видеоролик демонстрирует текущее состояние штаб-квартиры Apple Park: К концу года большая часть работ должна быть завершена6

Названа дата анонса «полноэкранных» смартфонов Gionee F6 и F205: Смартфоны Gionee F6 и F205 получили экраны с соотношением сторон 18:9 и узкими рамками

По данным Puls, 9 из 10 пользователей не планируют менять свои смартфоны до конца года: Многие могут просто поменять аккумуляторы в своих смартфонах вместо того, чтобы покупать новые устройства5

OnePlus 5T и ранее выпущенные смартфоны компании не получат поддержку Google Project Treble: OnePlus 3 и OnePlus 3T, а также OnePlus 5 и OnePlus 5T будут обновлены до Android 8.1

Seoul Semiconductor SunLike — первый осветительный светодиод, получивший сертификат безопасности RG 1: В светодиоде SunLike мощностью 25 Вт используется технология TRI-R, разработанная Toshiba Materials7

По прогнозу Digitimes Research, поставки планшетов в 2018 году составят 128 миллионов штук: На модели с экранами размером не менее 9 дюймов придется более 60% поставок2

997
1318

iXBT TV

  • Обзор проекционного документ-сканера Doko BS16

  • Обзор материнской платы Z370 Aorus Gaming 7 под процессоры Coffee Lake

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

1212

Календарь

февраль
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать