: UEFIMA.RU: Новый зловред, внедрившись в реестр Windows, затем встраивается в рабочие процессы браузеров и затем выдает вместо страницы с «правильной» поисковой выдачей, страницу со ссылками на ресурсы злоумышленников. Пока наибольшее распространение данный троян получил в США. «Доктор Веб» проинформировал о появлении очередного вредоноса - BackDoor.Finder, способного подменять поисковые запросы и перенаправлять пользовательские браузеры на ресурсы злоумышленников.
Распространяется BackDoor.Finder следующим образом: запустившись в зараженной системе, зловред создает свою копию в «%APPDATA%»-папке и делает соответствующие изменения той части реестра Windows, которая ведает автозагрузкой приложений.
Впоследствии троянец встраивается в запущенные процессы и если вредоносу удастся попасть в рабочие процессы браузера, то он перехватывает функции WSPSend, WSPCloseSocket и WSPRecv. После перехвата BackDoor.Finder приступает к генерированию 20 доменов управляющих серверов, затем отправляет на эти сервера зашифрованные запросы.
Как только пользователь зараженного компьютера задаст поиск, введенный запрос автоматически перенаправляется на адрес управляющего сервера, а оттуда в ответ зловреду направляется конфигурационный файл, содержащий URL, на которые браузер будет перенаправлен.
В итоге вместо страницы с поисковой выдачей пользователю отразится в браузерном окне список из составленных злоумышленниками интернет-ресурсов.
Специалистам «Доктора Веба» удалось выявить алгоритм, применяемый BackDoor.Finder для генерации адресов командных центров. Выяснено также, что наиболее этот троянец распространен в США, в частности в таких штатах как Канзас, Нью-Джерси и Огайо с Алабамой.
Опубликовано 2013-01-17.
