Posts Tagged ‘trojans’
ZLOB – фейковые DNS сервера.
Как сообщает TrendLabs Malware blog – сеть из фейковых DNS серверов принадлежащих ZLOB, на данный момент используются для подмены результатов поисковых систем. Трояны ZLOB меняют у жертвы адреса DNS серверов в настройках на свои, в результате чего могут подставлять фейковые IP адрес при запросе на резолв адресов поисковых систем. После этого пользователь работает уже не с настоящим сайтом, а с фейковым поисковиком, который может вставлять свои ссылки в результаты запросов поисковых систем. В принципе эта схема будет работать ещё долго,так как поисковики на данный момент ничего не могут поделать с этим. Троян живет на компе жертвы, а значит они бессильны.
Если раньше трояны вживались в ОС, «инжектились» в процессы браузеров, перехватывали\подменивали трафик браузеров,устанавливали компоненты для браузеров (BHO), то хакеры сейчас пошли дальше. И это радует :) Как работала схема ? После того как троян попадал на комп жертвы, он отслеживал запуск популярных браузеров, затем «внедрял» себя в адресное пространство процесса браузера и следил за действиями пользователя. Если жертва выполняла какой-нибудь запрос в поисковые системы, троян тут же перехватывал результат ( перехват функций сокетов recv\WSARecv\HttpRequest в ws2_32.dll\wsocks32.dll ) и вставлял фейковые ссылки своих клиентов.
Чем лучше подмена DNS ? Тем что не надо делать лишних тело-движений, нужно всего лишь подменить адреса DNS серверов и следить за тем что бы их не поменяли обратно. Не надо парится с обходом антивирусов и проактивных защит, не надо обходить файрволы для получения задания из центрального сервера ботнета. И все ! А дальше уже работает фейковы сервер куда уйдет запрос жертвы..
Решение проблемы для корпоративной сети?…
