Casa » Noticias » Extenbro troyano reemplaza DNS y bloquea el acceso a sitios antivirus

Extenbro troyano reemplaza DNS y bloquea el acceso a sitios antivirus

especialistas Malwarebytes Labs descubrieron Extenbro de Troya, que no sólo reemplaza DNS para mostrar anuncios, sino que también no permite que el usuario visite anti-virus y otros productos de seguridad.

WITH esta característica, usuario no puede descargar e instalar cualquier programa de protección y deshacerse de malware. Los investigadores advertir que al hacerlo, malware se pone las máquinas infectadas en riesgo de otros tipos de ataques, dejando efectivamente los sistemas infectados sin protección.

“Comportamiento malicioso similar ya ha sido demostrado por el malware Vonteera, que utilizó los certificados de sistema para desactivar las soluciones anti-virus en las máquinas infectadas”, - los expertos dicen.

Extenbro se distribuye principalmente como parte de varios paquetes promocionales.

Después de la instalación de un “paquete de software” tal, el usuario encontrará que en su máquina apareció anuncios no deseados que se originan no de los sitios que visita; una nueva página de inicio puede aparecer en el navegador. Finalmente, Malwarebytes expertos Labs descubrió que Extenbro se distribuye como parte de malware de la Trojan.IstartSurf familia paquete.

Con el fin de demostrar la publicidad no deseada, Extenbro cambia la configuración DNS en el sistema de la víctima. Además, los investigadores señalan que

"Además, si un usuario abre la configuración y cambia a la ficha Opciones avanzadas de DNS, se encontrará con que cuatro nuevos servidores DNS han aparecido en el sistema a la vez, y no dos, como es usualmente el caso. Desafortunadamente, no todos los usuarios podrán cambiar a la configuración avanzada y prestar atención al hecho de que no hay dos, pero cuatro servidores a la vez”, – en cuenta los especialistas de Malwarebytes laboratorios.

Qué es peor, si la víctima trata de deshacerse de los servidores DNS fraudulentos borrándolos, el malware se volverá a añadir a la configuración después de cada reinicio del sistema, ya en la etapa de la infección, una tarea programada con un nombre aleatorio se crea para este.

LEER  Índice de amenaza global: Emotet botnet suspendió sus actividades

Adicionalmente, malware se desactiva por completo el sistema IPv6 para que la víctima no puede pasar por alto los servidores DNS maliciosos y proteger su equipo. otro “red de seguridad”Es la adición de un nuevo certificado raíz a los certificados raíz de Windows y realizar cambios en el user.js Firefox expediente (la security.enterprise_roots.enabled parámetro se establece en cierto).

Esto obliga a Firefox para utilizar el almacén de certificados de Windows, donde se añadió certificado raíz del atacante.

En el el blog Malwarebytes laboratorios, tú puede encontrar instrucciones sobre la forma de eliminar este tipo de malware del sistema, y también se publicaron todos los indicadores necesarios de compromiso.

[Total:0    Promedio:0/5]

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Researchers at Malwarebytes reported about finding several MageCart web skimmers on the Heroku cloud platform

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta