Trojan.SkynetRef подменяет веб-страницы в окне браузера


Trojan.SkynetRef - троянская программа, представляющей собой локальный http-прокси сервер, основным назначением которого является подмена веб-страниц в окне браузера.

Для распространения трояна вирусописатели создали несколько полноценных веб-сайтов, с использованием которых осуществляется раздача вредоносного программного обеспечения. Среди них:

  • fvsn.org;
  • operadownload.info;
  • downloadutorrent.info;
  • downloadflashplayer.biz и др.

fvsn.org.1 operadownload.info.1

При попытке получить какое-либо приложение с одного из принадлежащих злоумышленникам интернет-ресурсов пользователю предлагается скачать и запустить специальную программу-установщик. Приложение всегда одинаковое, однако его имя может различаться в зависимости от выбранного пользователем объекта для последующей загрузки. По собственному имени установщик и определяет, что именно желает скачать пользователь. Если изменить имя этого файла (как раз это и происходит в случае его проверки различными автоматизированными службами), установщик прекращает работу. Если же имя оказывается верным, он загружает и устанавливает на компьютере пользователя не только выбранную им легитимную программу, но и трояна Trojan.SkynetRef.

fvsn.org.loader.1

Троян помещается в папку

  • %windir%\system32\

под именем

  • SystemPropertiesAdvancedViewer.exe


после чего загрузчик запускает это вредоносное приложение на выполнение. В результате оно устанавливается в качестве системной службы с именем

  • SystemPropertiesService


Затем троян сообщает об успешном завершении инсталляции на удаленный управляющий сервер, а также передает злоумышленникам сведения о собственной версии, версии операционной системы и используемого браузера. Для всех обнаруженных на компьютере браузеров Trojan.SkynetRef прописывает в настройках прокси-сервер 127.0.0.1, работающий на порту 3129. Конфигурацию прокси-сервера троян сохраняет в файле

  • %windir%\system32\NTIONET6.SYS


После этого вредоносная программа может подменять в браузере страницы просматриваемых пользователем сайтов согласно параметрам, указанным в ее конфигурационном файле.

После удаления трояна в настройках браузера сохраняется ссылка на прокси-сервер, в связи с чем доступ к веб-страницам по протоколу http может быть затруднен. Пользователям, пострадавшим от действий этой вредоносной программы, рекомендуется изменить данный параметр:

  • в Internet Explorer следует сбросить флажок "использовать прокси-сервер для локальных подключений" в окне "Настройка параметров локальной сети" ("Сервис" – "Свойства обозревателя" – "Подключения" – "Настройка сети");
  • в Firefox — установить переключатель "Настройка прокси для доступа в Интернет" в позицию "Без прокси" ("Инструменты" – "Настройки" – "Дополнительные" – "Сеть" – "Соединение" – "Настроить");
  • в Google Chrome открыть окно "Настройка и управление" – "Параметры" – "Расширенные" – "Изменить настройки прокси-сервера" и, нажав на кнопку "Настройка сети", сбросить флажок "использовать прокси-сервер для локальных подключений";
  • в Opera открыть окно "Настройки" - "Общие настройки", перейти ко вкладке "Расширенные" - "Сеть", нажать на кнопку "Прокси-серверы" и удалить все имеющиеся в открывшемся окне настройки.