FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY
Schließen
News

News nach thema

News über Viren & Co.
Die Wahrheit über Viren & Co.
Newsticker
Presse

Zurück zu News

Gefährlicher Trojaner unterschiebt Webseiten

Hanau, 7. Mai 2013

Die Sicherheitsexperten von Doctor Web haben vor kurzem Trojan.Mods.1 unter die Lupe genommen. Der Schädling gehört zu den Top 10 von Malware im April 2013. Früher führte er den Namen Trojan.Redirect.140. Laut Statistiken von Dr.Web CureIt! macht er 3,07% von der Gesamtzahl der entdeckten Infizierungen aus. Nachfolgend finden Sie eine Kurzanalyse des Trojaners.

Der Trojaner besteht aus zwei Komponenten: Dropper und dynamische Bibliothek, die für die Malware-Verbreitung verantwortlich ist. Während der Installation auf dem PC des Opfers erstellt der Dropper seine Kopie in einem Ordner auf der Festplatte und führt sich aus. Im Betriebssystem Microsoft Windows Vista kann sich der Dropper als Java-Anwendung ausführen, um Benutzerkonten (User Accounts Control, UAC) zu umgehen. Der Benutzer soll in diesem Fall das Herunterladen der Anwendung bestätigen.

screen

Anschließend speichert der Dropper auf der Festplatte die Hauptbibliothek des Trojaners, die sich auf dem infizierten PC in alle gestarteten Prozesse integriert. Die Bibliothek läuft aber nur in den Browsern Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Interent, Yandex.Browser und Rambler Nichrom. Die Konfigurationsdatei von Trojan.Mods.1 liegt in der Bibliothek verschlüsselt.

Die Hauptfunktion von Trojan.Mods.1 ist die Unterschiebung von Webseiten, indem die Übeltäter Systemfunktionen, die für die Übertragung von DNS-Namen der Websites in IP-Adressen verantwortlich ist. Wenn der Trojaner aktiviert ist, wird der Benutzer auf betrügerische Websites umgeleitet, wo er seine Mobiltelefonnummer eingeben und die zugeschickte SMS beantworten soll. Sollte der Benutzer dies akzeptieren, wird von seinem Konto ein bestimmter Betrag abgebucht.

screen

Die Architektur von Trojan.Mods.1 ist mit einem Algorithmus ausgerüstet, durch den die Umleitung des Browsers für eine bestimmte Gruppe von Adressen sich deaktivieren lässt.

Die Signatur dieses Trojaners wurde in die Dr.Web Virendatenbank eingetragen. Trojan.Mods.1 stellt deshalb keine Gefahr für Anwender von Dr.Web Produkten dar.

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare