Extenbro 트로이 목마는 안티 바이러스 사이트에 DNS 및 블록 액세스를 대체

Malwarebytes 연구소 전문가 Extenbro 트로이 목마 발견, 이는뿐만 아니라 광고를 표시하기 위해 DNS를 대체, 뿐만 아니라 사용자가 안티 바이러스 및 기타 보안 제품을 방문하는 것을 허용하지 않습니다.

W이 기능으로, 사용자는 다운로드 및 보호 프로그램을 설치하고 악성 코드를 제거 할 수 없습니다. 연구원 경고 그렇게 함으로써, 맬웨어는 다른 유형의 공격으로 인해 감염된 시스템을 위험에 빠뜨립니다., 감염된 시스템을 보호되지 않은 상태로 효과적으로 유지.

“유사한 악성 행위는 이미 Vonteera 악성 코드에 의해 입증되었습니다., 감염된 시스템에서 안티바이러스 솔루션을 비활성화하기 위해 시스템 인증서를 사용했습니다.", - 전문가들은.

Extenbro는 주로 다양한 프로모션 번들의 일부로 배포됩니다..

이러한 "소프트웨어 패키지"를 설치한 후, 사용자는 자신이 방문하는 사이트가 아닌 원치 않는 광고가 자신의 컴퓨터에 표시되었음을 알게 됩니다.; 브라우저에 새 시작 페이지가 나타날 수 있습니다.. 최종적으로, Malwarebytes Labs 전문가들은 Extenbro가 멀웨어의 일부로 배포된다는 사실을 발견했습니다. Trojan.IstartSurf 번들 패밀리.

원치 않는 광고를 보여주기 위해, Extenbro는 피해자 시스템의 DNS 설정을 변경합니다.. 그 위에, 연구원들은 다음과 같이 언급합니다.

"더구나, 사용자가 설정을 열고 고급 DNS 탭으로 전환하는 경우, 그는 4개의 새로운 DNS 서버가 한 번에 시스템에 나타난 것을 발견할 것입니다., 그리고 두 개가 아니라, 보통의 경우와 같이. 운수 나쁘게, 모든 사용자가 고급 설정으로 전환할 수 있는 것은 아니며 두 가지가 없다는 사실에 주의하십시오., 하지만 한 번에 4개의 서버”, – Malwarebytes Labs의 전문가에 주목하십시오..

더 나쁜 것은, 피해자가 사기성 DNS 서버를 삭제하여 제거하려고 하는 경우, 맬웨어는 시스템이 다시 시작될 때마다 설정에 다시 추가합니다., 감염 단계부터, 이를 위해 임의의 이름을 가진 예약된 작업이 생성됩니다..

또한, 맬웨어는 IPv6 시스템을 완전히 비활성화하여 피해자가 악성 DNS 서버를 우회하여 컴퓨터를 보호할 수 없도록 합니다.. 또 다른 "안전망"는 Windows 루트 인증서에 새 루트 인증서를 추가하고 파이어폭스 사용자.js 파일 (그만큼 security.enterprise_roots.enabled 매개변수가 다음으로 설정됩니다. 진실).

이것은 Firefox가 Windows 인증서 저장소를 사용하도록 합니다., 공격자의 루트 인증서가 추가된 위치.

에서 Malwarebytes 연구소 블로그, 당신 지침을 찾을 수 있습니다 시스템에서 이러한 맬웨어를 제거하는 방법, 그리고 필요한 모든 타협 지표도 발표했습니다..

폴리나 리소프스카야

저는 몇 년 동안 마케팅 관리자로 일하고 있으며 흥미로운 주제를 찾는 것을 좋아합니다.

회신을 남겨주

맨 위로 돌아가기 버튼