Троян со всплывающими окнами
Корпорация Symantec сообщила о новой троянской программе, которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Программа использует технологию SPF (Sender Policy Framework, среда политик отправителя) для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты.
Обычно на пути взаимодействия между вредоносной программой и сервером управления может стоять шлюз или локальный брандмауэр, их соединение может блокироваться системой предотвращений вторжений – IPS. Поэтому авторы вредоносных программ пытаются обойти подобные средства защиты. Обнаруженная экспертами Symantec троянская программа использует для этих целей технологию SPF, изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок. Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки.
Идея автора вредоносной программы состоит в том, что при использовании SPF домен или IP-адрес может быть получен через DNS-запрос, при этом сам запрос не обязательно должен исходить непосредственно от зараженного компьютера. Обычно в сети присутствует локальный кэширующий DNS-сервер, который отправляет запросы, полученные с локальных компьютеров, от своего имени.
Специалистами Symantec обнаружен троянец (идентифицируемый продуктами компании как Trojan.Spachanel), который использует SPF. Вирус взламывает браузер и встраивает вредоносный контент в каждую HTML-страницу.
После инфицирования встроенный JavaScript-тэг загружает вредоносный контент, который создает всплывающее окно в нижнем левом углу окнабраузера. Поскольку Java-скрипт встраивается в браузер, а не в сам Web-сервер, всплывающие окна не будут отображаться на незараженных компьютерах.
Пока экспертам встретились четыре типа всплывающих окон. Согласно тестам Symantec, если кликать на кнопки окон PC Speed Test и PC Performer Test, пользователь перенаправляется на сайт, предлагающий для загрузки потенциально опасное содержимое. Всплывающее окно How fast can you build your muscle mass? (как быстро вы можете набрать мышечную массу?) похоже на рекламный баннер, а нажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с captcha-изображением наблюдалось лишь в одной атаке, и пока не определено, какая атака за ним стоит.
Очевидно, что цель этих атак – зарабатывание денег за счет предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам.