Доктор Веб: Новый троян подменяет поисковые запросы

Компания «Доктор Веб» обнаружила новую вредоносную программу, которая подменяет поисковые запросы. Помимо этого, троян также перенаправляет пользователей на сайты злоумышленника.

После того, как вирус попадает на компьютер, он создает собственную копию в папке %APPDATA% и вносит определенные изменения в ту часть системного реестра Windows, которая отвечает за автозагрузку приложений. Впоследствии троян встраивается во все запущенные процессы.

«Если троянцу удается внедриться в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox, Maxton, Chrome, Safari, Mozilla, Opera, Netscape или Avant, он осуществляет перехват функций WSPSend, WSPRecv и WSPCloseSocket», - говорится в уведомлении экспертов из «Доктор Веб».

Троян способен генерировать до 20 доменных имен управляющих серверов, к которым он последовательно обращается при передаче зашифрованного запроса. Если пользователь, который стал жертвой трояна, пытается осуществить поиск через популярные поисковые системы (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com), то вводимый запрос отправляется на управляющий сервер. Затем троянец получает конфигурационный файл со списком адресов сайтов, на которые будет перенаправляться браузер, и пользователю выдаются указанные злоумышленниками интернет-ресурсы.

Экспертам удалось установить, что наиболее масштабно троян распространяется на территории США, в частности в штате Канзас.