В сети обнаружен Компания новый класс вредоносных программ, названых
Trojan.HttpBlock, цель которых- блокировать доступ к популярным
интернет-сайтам. Отличие данной программы от семейства Trojan.Hosts,
Trojan.HttpBlock перенаправляет пользователя не на вредоносный сайт, а
на устанавливаемый троянцем на заражаемом компьютере веб-сервер.
Впервые, распространения программ класса Trojan.HttpBlock было
зафиксировано 22 сентября 2010 г. На 1 октября 2010 года обнаружено 2
семейства Trojan.HttpBlock, несколько отличающихся между собой по
функционалу. На данный момент оба варианта Trojan.HttpBlock с
отображаемых в браузерах страниц требуют отправить платное SMS-сообщение
на номер 6681 за восстановление доступа к сайтам. Trojan.HttpBlock.1
имеет больше модификаций, чем Trojan.HttpBlock.2. Эти вредоносные
программы не изменяют сам файл hosts, полагаясь на то, что это сделает
другой компонент вредоносной программы, в комплекте с которой он
распространяется. Вероятнее всего, создатели Trojan.HttpBlock.1
использовали одно из готовых решений для подмены интернет-страниц.
Trojan.HttpBlock.1 защищает файл hosts и своё тела от изменений,
препятствуя тем самым возможному восстановлению работоспособности
системы пользователем либо антивирусом. Для противодействия работе
защитного ПО и анализу системы Trojan.HttpBlock.1 завершает работу
процессов со следующими именами: taskmgr.exe, regedit.exe, rstrui.exe,
msconfig.exe, avz.exe, ccleaner.exe, procexp.exe, httpd.exe, apache.exe,
nginx.exe, lighthttpd.exe. Для тех, кто понимает, программа всячески
препятствует и пресекает попытки пользователя одним из приложений
нейтрализовать или завершить процесс вредоноса. Trojan.HttpBlock.2
выделяется на фоне Trojan.HttpBlock.1 тем, что на заражённом компьютере
устанавливает и использует веб-сервер, основанный на Mongoose. Судя по
схожим кодам, которые требуются для разблокировки доступа к сайтам,
можно предположить, что оба варианта Trojan.HttpBlock были созданы одной
группой лиц.
|