Encyklopedický vstup
Aktualizováno: 10.04.2012 | Zveřejněno: Mar 29, 2012 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 10.04.2012 | Zveřejněno: Mar 29, 2012 Aliasy
-
Trojan:JS/Medfos.B (other)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.123.554.0 Vydáno: 28.března 2012 |
Shrnutí
Trojan:Win32/Medfos.B je trojan, který přesměruje internetový prohlížeč Internet Explorer nebo Mozilla Firefox na jiné stránky.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Při zadávání vyhledávacích dotazů, budete přesměrováni na jednu z těchto pay-per-click stránkách:
- googleppcfeed.com
- highfeedstream.com
- livefeedstream.com
- marketingppcfeed.com
- payviaclick.com
- ppcstream.com
- theppcfeed.com
Technické informace (analýza)
Trojan:Win32/Medfos.B je trojan, který přesměruje internetový prohlížeč Internet Explorer nebo Mozilla Firefox na jiné stránky.
Instalace
Trojan:Win32/Medfos.B je obvykle instalován variant Win32/Medfos. a vyskytuje seDLL soubor v %TEMP% složku, například "TEMP%\btpse.dll".
Systém registru je upraven tak, aby provedení Trojan u každého Windows spusťte přes "rundll32.exe", Například:
V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "btpse"
S údaje: "rundll32.exe "c:\docume~1\admini~1\locals~1\temp\btpse.dll",startcompressbuffer"
Nastaví hodnotu: "btpse"
S údaje: "rundll32.exe "c:\docume~1\admini~1\locals~1\temp\btpse.dll",startcompressbuffer"
Užitečná
Přesměrování Internet Explorer
Při procházení webu pomocí Internet Explorer, Trojan čeká a přesměrovává dotazy vyhledávání na jiné webové stránky za použití jednoho z těchtouniform resource identifier (URI) Metody:
- <cílová doménové/feed?type=live&ua=MSIE
- <cílová doménové/feed?type=<website vyhledávání>&ua=MSIE
V důsledku této akce může malware přesměrovat zadanou webovou adresu nebo vyhledávání dotazy na určité pay-per-click reklamní webové stránky, jako je následující:
- googleppcfeed.com
- highfeedstream.com
- livefeedstream.com
- marketingppcfeed.com
- payviaclick.com
- ppcstream.com
- theppcfeed.com
Přesměrování Mozilla Firefox
Trojan:Win32/Medfos.B nainstaluje Mozilla Firefox Prodloužení jako následující:
- %LOCALAPPDATA%\(náhodný CLSID)\chrome\content\browser.xul - Detekován jako Trojan:JS/Medfos.A
Rozšíření je vidět, jak Mozilla Firefox add-on s názvem "Translate This! 2.0", Jak je uvedeno níže:
Při procházení webu pomocí Mozilla Firefox, Trojan čeká a přesměrovává dotazy vyhledávání na jiné webové stránky pomocí následujícího URI metody:
- <cílová doménové/feed.php?type={TYP}&ua=Firefox&ip={náhodný IP}&ref={website vyhledávání}&uu={Údaje};
V důsledku této akce může malware přesměrovat zadanou webovou adresu nebo vyhledávání dotazy na určité pay-per-click reklamní webové stránky, jako je následující:
- googleppcfeed.com
- highfeedstream.com
- livefeedstream.com
- marketingppcfeed.com
- payviaclick.com
- ppcstream.com
- theppcfeed.com
Žádné komentáře:
Okomentovat