BackDoor.Finder


BackDoor.Finder - вредоносная программа, способная подменять запросы в различных поисковых системах, а также перенаправлять браузер на сайты злоумышленников.

Запустившись в инфицированной системе, троян BackDoor.Finder создает собственную копию в папке

  • %APPDATA%

текущего пользователя и вносит соответствующие изменения в ветвь системного реестра Windows, отвечающую за автозагрузку приложений. Далее зловредо встраивается во все запущенные процессы. Если трояну удается внедриться в процессы браузеров:

  • Microsoft Internet Explorer;
  • Mozilla Firefox;
  • Maxtron;
  • Chrome;
  • Safari;
  • Mozilla;
  • Opera;
  • Netscape;
  • Avant

тогда он осуществляет перехват функций

  • WSPSend;
  • WSPRecv;
  • WSPCloseSocket.


Затем BackDoor.Finder генерирует до 20 доменных имен управляющих серверов и последовательно обращается к ним, передавая зашифрованный запрос. При попытке пользователя зараженной машины обратиться к поиску на:

  • google.com;
  • bing.com;
  • yahoo.com;
  • ask.com;
  • search.aol.com;
  • search.icq.com;
  • search.xxx;
  • www.wiki.com;
  • www.alexa.com;
  • yandex.com

введенный запрос передается на управляющий сервер, а в ответ троян получает конфигурационный файл со списком адресов сайтов, на которые будет перенаправляться браузер. В результате вместо веб-страницы с результатами поиска пользователь увидит в окне браузера указанные злоумышленниками интернет-ресурсы.

Специалистам компании "Доктор Веб" удалось определить используемый BackDoor.Finder алгоритм генерации имен командных центров, было зарегистрировано несколько управляющих серверов с целью сбора статистики. В результате выяснилось, что наибольшее распространение эта троянская программа имеет на территории США, а лидером по количеству заражений выступают штат:

  • Канзас;
  • Нью-Джерси;
  • Огайо;
  • Алабама.


Меньше всего случаев инфицирования троянцем BackDoor.Finder приходится на долю Юты и Мичигана.