Троянець підміняє ваші пошукові запити

У Мережі поширюється шкідлива програма BackDoor.Finder. Троянець може підміняти запити в різних пошукових системах, а також перенаправляти браузер на сайти зловмисників.

Запустившись в інфікованої системі, троянець BackDoor.Finder створює власну копію в папці %APPDATA% поточного користувача і вносить відповідні зміни до гілку системного реєстру Windows, що відповідає за запуску додатків. Потім ця шкідлива програма вбудовується у всі запущені процеси. Якщо троянцу вдається проникнути в процеси браузерів Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape або Avant, він здійснює перехоплення функцій WSPSend, WSPRecv і WSPCloseSocket.

Потім BackDoor.Finder генерує до 20 центр доменів керуючих серверів і послідовно звертається до них, передаючи зашифрований запит. При спробі користувача зараженої машини звернутися до пошуку на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com або yandex.com введений запит передається на керуючий сервер, а у відповідь троянець отримує конфігураційний файл зі списком адрес сайтів, на які буде перенаправляти браузер. У результаті замість веб сторінки з результатами пошуку користувач побачить у вікні браузера зазначені зловмисниками інтернет-ресурси.

Фахівцям компанії «Доктор Веб» вдалося визначити використовуваний BackDoor.Finder алгоритм генерації доменів командних центрів. Було зареєстровано кілька керуючих серверів з метою збору статистики. З'ясувалося, що найбільше поширення ця шкідлива програма має на території США, причому абсолютним лідером по кількості заражень виступає штат Канзас, на другому місці знаходиться Нью Джерсі, на третьому - Огайо і Алабама. Найменше випадків інфікування троянцем BackDoor.Finder доводиться на частку Юти і Michigan.