Trojan.SkynetRef подменяет веб-страницы в браузере

Компания «Доктор Веб» предупреждает пользователей об участившихся случаях заражения троянской программой Trojan.SkynetRef.1, представляющей собой локальный http-прокси сервер, основное назначение которого — подмена веб-страниц в окне браузера.

Для распространения своего детища вирусописатели не поленились создать несколько полноценных веб-сайтов, с использованием которых осуществляется раздача вредоносного программного обеспечения. Среди них следует отметить портал fvsn.org, а также сайты operadownload.info, downloadutorrent.info, downloadflashplayer.biz и др.

При попытке получить какое-либо приложение с одного из принадлежащих злоумышленникам интернет-ресурсов пользователю предлагается скачать и запустить специальную программу-установщик. Это приложение всегда одинаковое, однако его имя может различаться в зависимости от выбранного пользователем объекта для последующей загрузки. По собственному имени установщик и определяет, что именно желает скачать пользователь: если изменить имя этого файла (как раз это и происходит в случае его проверки различными автоматизированными службами), установщик прекращает работу. Если же имя оказывается верным, он загружает и устанавливает на компьютере пользователя не только выбранную им легитимную программу, но и троянца Trojan.SkynetRef.1.

Троянец помещается в папку %windir%\system32\ под именем SystemPropertiesAdvancedViewer.exe, после чего загрузчик запускает это вредоносное приложение на выполнение. В результате оно устанавливается в качестве системной службы с именем SystemPropertiesService. Затем троянец сообщает об успешном завершении инсталляции на удаленный управляющий сервер, а также передает злоумышленникам сведения о собственной версии, версии операционной системы и используемого браузера. Для всех обнаруженных на компьютере браузеров Trojan.SkynetRef.1 прописывает в настройках прокси-сервер 127.0.0.1, работающий на порту 3129. Конфигурацию прокси-сервера троянец сохраняет в файле %windir%\system32\NTIONET6.SYS. После этого вредоносная программа может подменять в браузере страницы просматриваемых пользователем сайтов согласно параметрам, указанным в ее конфигурационном файле.

Сигнатура этой угрозы уже добавлена в вирусные базы Dr.Web, а адреса сайтов, используемых злоумышленниками для распространения вредоносного ПО, включены в базы веб-антивируса SpIDer Gate. К сожалению, после удаления троянца в настройках браузера сохраняется ссылка на прокси-сервер, в связи с чем доступ к веб-страницам по протоколу http может быть затруднен. Пользователям, пострадавшим от действий этой вредоносной программы, рекомендуется изменить данный параметр:

  • в Internet Explorer следует сбросить флажок «использовать прокси-сервер для локальных подключений» в окне «Настройка параметров локальной сети» («Сервис» – «Свойства обозревателя» – «Подключения» – «Настройка сети»);
  • в Firefox — установить переключатель «Настройка прокси для доступа в Интернет» в позицию «Без прокси» («Инструменты» – «Настройки» – «Дополнительные» – «Сеть» – «Соединение» – «Настроить»);
  • в Google Chrome открыть окно «Настройка и управление» – «Параметры» – «Расширенные» – «Изменить настройки прокси-сервера» и, нажав на кнопку «Настройка сети», сбросить флажок «использовать прокси-сервер для локальных подключений»;
  • в Opera открыть окно «Настройки» — «Общие настройки», перейти ко вкладке «Расширенные» — «Сеть», нажать на кнопку «Прокси-серверы» и удалить все имеющиеся в открывшемся окне настройки.