Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Gefährlicher Trojaner unterschiebt Webseiten

Hanau, 7. Mai 2013

Die Sicherheitsexperten von Doctor Web haben vor kurzem Trojan.Mods.1 unter die Lupe genommen. Der Schädling gehört zu den Top 10 von Malware im April 2013. Früher führte er den Namen Trojan.Redirect.140. Laut Statistiken von Dr.Web CureIt! macht er 3,07% von der Gesamtzahl der entdeckten Infizierungen aus. Nachfolgend finden Sie eine Kurzanalyse des Trojaners.

Der Trojaner besteht aus zwei Komponenten: Dropper und dynamische Bibliothek, die für die Malware-Verbreitung verantwortlich ist. Während der Installation auf dem PC des Opfers erstellt der Dropper seine Kopie in einem Ordner auf der Festplatte und führt sich aus. Im Betriebssystem Microsoft Windows Vista kann sich der Dropper als Java-Anwendung ausführen, um Benutzerkonten (User Accounts Control, UAC) zu umgehen. Der Benutzer soll in diesem Fall das Herunterladen der Anwendung bestätigen.

screen

Anschließend speichert der Dropper auf der Festplatte die Hauptbibliothek des Trojaners, die sich auf dem infizierten PC in alle gestarteten Prozesse integriert. Die Bibliothek läuft aber nur in den Browsern Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Interent, Yandex.Browser und Rambler Nichrom. Die Konfigurationsdatei von Trojan.Mods.1 liegt in der Bibliothek verschlüsselt.

Die Hauptfunktion von Trojan.Mods.1 ist die Unterschiebung von Webseiten, indem die Übeltäter Systemfunktionen, die für die Übertragung von DNS-Namen der Websites in IP-Adressen verantwortlich ist. Wenn der Trojaner aktiviert ist, wird der Benutzer auf betrügerische Websites umgeleitet, wo er seine Mobiltelefonnummer eingeben und die zugeschickte SMS beantworten soll. Sollte der Benutzer dies akzeptieren, wird von seinem Konto ein bestimmter Betrag abgebucht.

screen

Die Architektur von Trojan.Mods.1 ist mit einem Algorithmus ausgerüstet, durch den die Umleitung des Browsers für eine bestimmte Gruppe von Adressen sich deaktivieren lässt.

Die Signatur dieses Trojaners wurde in die Dr.Web Virendatenbank eingetragen. Trojan.Mods.1 stellt deshalb keine Gefahr für Anwender von Dr.Web Produkten dar.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden