Троян.Win32.DNSChanger

Trojan.Win32.DNSChanger — -бэкдор троян , который перенаправляет пользователей на различные вредоносные веб-сайты посредством изменения настроек DNS компьютера жертвы. Этот штамм вредоносного ПО был впервые обнаружен Центром защиты от вредоносных программ Microsoft 7 декабря 2006 г. ^[1] и позже обнаружен McAfee Labs 19 апреля 2009 г. ^[2]

Поведение

Трояны-изменители DNS попадают в зараженные системы с помощью других вредоносных программ, таких как TDSS или Koobface . ^[3] Троян представляет собой вредоносный исполняемый файл Windows , который не может распространиться на другие компьютеры. Таким образом, он выполняет несколько действий от имени злоумышленника на взломанном компьютере, например, изменяет настройки DNS , чтобы перенаправить трафик на нежелательные, потенциально незаконные и/или вредоносные домены. ^[2]^[1]

The Win32.DNSChanger Троян используется организованными преступными синдикатами для мошенничества с кликами . Активностью просмотра пользователя манипулируют с помощью различных средств модификации (например, изменения места назначения законной ссылки для ее последующей пересылки на другой сайт), что позволяет злоумышленникам получать доход от с оплатой за клик онлайн-рекламы схем . Троян обычно представляет собой небольшой файл (+/- 1,5 килобайта), предназначенный для изменения NameServer значение ключа реестра для пользовательского IP-адреса или домена, который зашифрован в теле самого трояна. В результате этого изменения устройство жертвы будет связываться с недавно назначенным DNS-сервером для разрешения имен вредоносных веб-серверов . ^[4]

Trend Micro описала следующее поведение Win32.DNSChanger:

Направление неосведомленных пользователей на вредоносные веб-сайты . Эти сайты могут представлять собой фишинговые страницы, которые подделывают известные сайты с целью обманом заставить пользователей передать конфиденциальную информацию. Например, пользователь, который хочет посетить сайт iTunes , вместо этого неосознанно перенаправляется на мошеннический сайт.
Замена рекламы на законных сайтах . Посещение определенных сайтов может предоставить пользователям с зараженными системами набор рекламы, отличный от тех, чьи системы не заражены.
Контроль и перенаправление сетевого трафика . Пользователям зараженных систем может быть отказано в доступе для загрузки важных обновлений ОС и программного обеспечения от таких поставщиков, как Microsoft, а также от соответствующих поставщиков средств безопасности.
Распространение дополнительных вредоносных программ . Зараженные системы более склонны к заражению другими вредоносными программами (например, заражению FAKEAV). ^[3]

Альтернативные псевдонимы

Win32:KdCrypt[Cryp] ( Avast )
TR/Vundo.Gen ( Avira )
MemScan:Trojan.DNSChanger ( Bitdefender Labs )
Win.Trojan.DNSChanger ( ClamAV )
вариант Win32/TrojanDownloader.Zlob ( ESET )
Trojan.Win32.Monder ( Лаборатория Касперского )
Troj/DNSCha ( Sophos )
Мал_Злоб ( Trend Micro )
MalwareScope.Trojan.DnsChange ( антивирус Vba32 )

Другие варианты

Trojan.Win32.DNSChanger.al

Компания F-Secure , занимающаяся кибербезопасностью, получила образцы варианта, получившего название PayPal-2.5.200-MSWin32-x86-2005.exe . В данном случае атрибуция PayPal указывала на фишинговой атаки . вероятность ^[5] Троян был запрограммирован на изменение имени DNS-сервера компьютера жертвы на IP-адрес в диапазоне 193.227.xxx.xxx. ^[6]

Ключ реестра, на который влияет этот троян:

HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\NameServer

Другие изменения реестра включали создание следующих ключей:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random}, DhcpNameServer = 85.255.xx.xxx,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random}, NameServer = 85.255.xxx.133,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\, DhcpNameServer = 85.255.xxx.xxx,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\, NameServer = 85.255.xxx.xxx,85.255.xxx.xxx^[6]

См. также

Ссылки

^ Jump up to: ^а ^б «Троян:Win32/Dnchanger» . Служба безопасности Майкрософт . 7 декабря 2006 года . Проверено 16 января 2021 г.
^ Jump up to: ^а ^б «Профиль вируса: DNSChanger» . Макафи . 19 апреля 2009 года. Архивировано из оригинала 3 сентября 2017 года . Проверено 16 января 2021 г.
^ Jump up to: ^а ^б Как трояны-изменители DNS направляют пользователей к угрозам – Энциклопедия угроз – Trend Micro USA
^ F-безопасный. «Троян:W32/DNSChanger» . Проверено 17 декабря 2018 г.
^ Фишинговая атака поразила подписчиков PayPal | V3
^ Jump up to: ^а ^б Новости из архива лаборатории: с января 2004 г. по сентябрь 2015 г.

Внешние ссылки

Как трояны-изменители DNS направляют пользователей к угрозам от TrendMicro
ФБР: Операция Ghost Click ( F-Secure )
«Крупнейшее нападение киберпреступников в истории» ( Брайан Кребс @ krebsonsecurity.com )
Анализ файла DNSChanger на VirusTotal

[autogenerated2-1] Jump up to: ^а ^б «Троян:Win32/Dnchanger» . Служба безопасности Майкрософт . 7 декабря 2006 года . Проверено 16 января 2021 г.

[autogenerated1-2] Jump up to: ^а ^б «Профиль вируса: DNSChanger» . Макафи . 19 апреля 2009 года. Архивировано из оригинала 3 сентября 2017 года . Проверено 16 января 2021 г.

[autogenerated4-3] Jump up to: ^а ^б Как трояны-изменители DNS направляют пользователей к угрозам – Энциклопедия угроз – Trend Micro USA

[F-Secure-4] F-безопасный. «Троян:W32/DNSChanger» . Проверено 17 декабря 2018 г.

[5] Фишинговая атака поразила подписчиков PayPal | V3

[autogenerated3-6] Jump up to: ^а ^б Новости из архива лаборатории: с января 2004 г. по сентябрь 2015 г.

[1]

[2]

[3]

[4]

[5]

[6]