Тем: 4,592, Сообщений: 360,603, Пользователи: 159,826
На форуме: 3
|
|
||||||
 |
|
|
Опции темы | Опции просмотра | Language |
|
|
13.04.2010, 20:00
|
#1 |
|
Гуру
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 48   |
Trojan-Proxy.Win32. Koobface.a
13 апреля, 2010 Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя. Инсталляция При запуске программа извлекает из себя и устанавливает в системе новый исполняемый файл, копируя его в системный каталог Windows: %System%\dll32.dll Для автоматического запуска при каждом следующем старте системы программа добавляет ссылку на извлеченный исполняемый файл в ключ автозапуска системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "dll"="rundll32 dll32,sm" Для того чтобы файл dll32.dll выполнял в системе функционал прокси-сервера, программа создает следующие ключи реестра: [HKСU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings] "ProxyEnable"=1 "ProxyOverride"="*.local;" "ProxyServer"="http=localhost:7171" [HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\ FirewallPolicy StandardProfile\GloballyOpenPorts\List] "7171:TCP"="7171:TCP:*:Enabled:dll32" "80:TCP"="80:TCP:*:Enabled:dll32" Деструктивная активность Установленная программа перехватывает все DNS запросы, содержащие одну из следующих строк: “.ask.” “search.aol.” “search.live.” “search.msn.” “search.yahoo.” “google.” “.sa.aol.com” “.aolcdn.com” “.autodatadirect.com” “thumbnail.aspx” “yahooapis.com” “metacafe.com” “.yimg.com” “img.youtube.com” Данные DNS запросы вредоносная программа отправляет на сервер rz-dns.com, в данный момент сервер недоступен, ранее он мог контролироваться злоумышленником.
__________________
|
|
|
| Пользователь сказал cпасибо: |
Комбинированный вид
