суббота, 2 июля 2011 г.

Накрутка поведенческих факторов по новому

Накрутка поведенческих факторов ранжирования вышла на новый уровень. Теперь она вредит не только поисковым системам, но и обычным пользователям, которые о поведенческих факторах даже не слышали. Подробнее в письме от Dr.Web ниже.

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — обращает внимание пользователей на угрозу заражения персональных компьютеров вредоносной программой Trojan.MailGrab.61. Этот троянец предназначен для повышения посещаемости указанных злоумышленниками сайтов и сбора адресов электронной почты.

Проникнув в операционную систему, Trojan.MailGrab.61 создает во временной папке свою копию со случайным именем и расширением .dll, после чего согласно встроенному в него списку возможных путей установки наиболее популярных программ пытается создавать в них собственные копии с именем характерной для каждого приложения динамической библиотеки. Затем троянец копирует себя в директорию установки используемого по умолчанию браузера под видом одной из них, на случай если в его списке отсутствует браузер пользователя. В перечне приложений, которые способен инфицировать Trojan.MailGrab.61, присутствует множество ftp-клиентов и такие программы как Outlook Express, The Bat!, Windows Mail, Windows Media Player, WinRAR, PHP Expert Editor, Notepad ++, Windows Photo Viewer, DVD Maker, Total Commander, FAR, а также некоторые другие. Поскольку системный загрузчик по умолчанию ищет необходимые библиотеки сначала в текущей папке, то в момент старта инфицированной программы Trojan.MailGrab.61 загружается в адресное пространство ее процесса под видом стандартной динамической библиотеки и отмечает свой изначальный установщик на удаление после перезагрузки системы.

Будучи загруженной в память, данная вредоносная программа определяет версию операционной системы и пытается установить, является ли процесс, в который она внедрилась, браузером. Если это действительно так, Trojan.MailGrab.61 отправляет на принадлежащий злоумышленникам сервер сообщение об успешной установке, а в ответ получает зашифрованный список URL сайтов, посещаемость которых следует повысить. Вслед за этим троянец начинает отправлять на эти сайты циклические http-запросы. Троянская программа перехватывает все отправляемые в сеть данные и сканирует их на наличие адресов электронной почты, которые в случае обнаружения сохраняются в файле Windows\inf\jer.pnf. Содержимое этого файла также передается злоумышленникам, а после успешной отсылки данной информации — удаляется. Таким образом троянец пополняет спамерские базы данных.

Для удаления этой вредоносной программы достаточно проверить операционную систему сканером Dr.Web, который входит в состав любого антивирусного продукта компании «Доктор Веб» для ОС Microsoft Windows.

Вот так.





Другие посты по этой теме:



5 комментариев:

  1. Мда... Эта сумасшедшая гонка между ПС и SEO никогда не закончится. Что-бы не придумали ПС, SEO всегда найдут чем ответить.

    ОтветитьУдалить
  2. К SEO это не имеет никакого отношения.

    ОтветитьУдалить
  3. Мопед не мой - я просто!

    Остановите SEO, в SEO денег нет!

    ОтветитьУдалить
  4. О, как меня достал этот вирус. Я сестры моей жены я 2 дня мучился пока смог его выявить, перегружает комп в безопасном режиме и касперыча вжик и uninstall грузит потом в нормальном режиме и как ни в чем не бывало лезет в сеть. Я пока не установил последнего каперыча в демо со свежей базой так не смог его победить, а да еще в автозагрузве пришлось принудительно выбирать параметры загрузки ОС, чтобы этот зверь не напакостил в безопасном режиме в очередной раз. Загрузочную запись он хорошо потрепал... Было такое приятно вспомнить что сумел преодолеть это...

    ОтветитьУдалить
  5. ошибся, это я про твой пост про Trojan.Rmnet заражает MBR комент оставлял а пошла на гавную запись( Trojan.Rmnet - Вот эта дрянь еще та.

    ОтветитьУдалить

Ваш комментарий появится в блоге после проверки администратором