Trojan.Win32.DNSChanger

Trojan.Win32.DNSChanger är en bakdörrstrojan som omdirigerar användare till olika skadliga webbplatser genom att ändra DNS- inställningarna på ett offers dator. Skadlig programvara upptäcktes först av Microsoft Malware Protection Center den 7 december 2006 och upptäcktes senare av McAfee Labs den 19 april 2009.

Beteende

DNS-växlartrojaner släpps till infekterade system med andra medel av skadlig programvara, som TDSS eller Koobface . Trojanen är en skadlig Windows-körbar fil som inte kan spridas till andra datorer. Därför utför den flera åtgärder på uppdrag av angriparen inom en komprometterad dator, som att ändra DNS- inställningarna för att avleda trafik till oönskade och potentiellt olagliga och/eller skadliga domäner.

Win32.DNSChanger - trojanen används av organiserade brottssyndikat för att upprätthålla klickbedrägeri . Användarens surfaktivitet manipuleras genom olika metoder för modifiering (som att ändra destinationen för en legitim länk för att sedan vidarebefordras till en annan webbplats), vilket gör att angriparna kan generera intäkter från onlineannonseringssystem som betalar per klick . Trojanen finns vanligtvis som en liten fil (+/- 1,5 kilobyte) som är utformad för att ändra NameServers registernyckelvärde till en anpassad IP-adress eller domän som är krypterad i själva trojanen. Som ett resultat av denna förändring skulle offrets enhet kontakta den nyligen tilldelade DNS-servern för att lösa namn på skadliga webbservrar .

Trend Micro beskrev följande beteenden hos Win32.DNSChanger :

  • Styra okända användare till skadliga webbplatser : Dessa webbplatser kan vara nätfiskesidor som förfalskar välkända webbplatser för att lura användare att dela ut känslig information. En användare som vill besöka iTunes- webbplatsen, till exempel, omdirigeras istället omedvetet till en oseriös sida.
  • Ersätta annonser på legitima webbplatser : Att besöka vissa webbplatser kan ge användare med infekterade system en annan uppsättning annonser än de vars system inte är infekterade.
  • Kontrollera och omdirigera nätverkstrafik : Användare av infekterade system kanske inte ges åtkomst att ladda ner viktiga OS- och programuppdateringar från leverantörer som Microsoft och från deras respektive säkerhetsleverantörer.
  • Drivning av ytterligare skadlig programvara : Infekterade system är mer benägna att få andra skadliga infektioner (t.ex. FAKEAV-infektion).

Alternativa alias

Andra varianter

  • Trojan.Win32.DNSChanger.al
F-Secure , ett cybersäkerhetsföretag, fick prover av en variant som fick namnet PayPal-2.5.200-MSWin32-x86-2005.exe . I det här fallet indikerade PayPal- tillskrivningen att en nätfiskeattack var trolig. Trojanen var programmerad att ändra DNS-servernamnet på ett offers dator till en IP-adress i intervallet 193.227.xxx.xxx.
Registernyckeln som påverkas av denna trojan är:
  • HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\NameServer
Andra registerändringar som gjordes involverade skapandet av nedanstående nycklar:
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random} , DhcpNameServer = 85.255.xx.xxx,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random} , NameServer = 85.255.xxx.133,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ , DhcpNameServer = 85.255.xxx.xxx,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ , NameServer = 85.255.xxx.xxx,85.255.xxx.xxx

Se även

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Trojan.Win32.DNSChanger&oldid=1089621036 "