» 뉴스 » Extenbro 트로이 목마는 안티 바이러스 사이트에 DNS 및 블록 액세스를 대체

Extenbro 트로이 목마는 안티 바이러스 사이트에 DNS 및 블록 액세스를 대체

Malwarebytes 연구소 전문가 Extenbro 트로이 목마 발견, 이는뿐만 아니라 광고를 표시하기 위해 DNS를 대체, 뿐만 아니라 사용자가 안티 바이러스 및 기타 보안 제품을 방문하는 것을 허용하지 않습니다.

With this feature, 사용자는 다운로드 및 보호 프로그램을 설치하고 악성 코드를 제거 할 수 없습니다. Researchers 경고 that by doing so, malware puts infected machines at risk from other types of attacks, effectively leaving infected systems unprotected.

“Similar malicious behavior has already been demonstrated by Vonteera malware, which used system certificates to disable anti-virus solutions on infected machines”, - 전문가들은.

Extenbro is mainly distributed as part of various promotional bundles.

After installing such a “software package”, the user will find that on his machine appeared unwanted advertisements that originate not from the sites he visits; a new start page may appear in the browser. 최종적으로, Malwarebytes Labs experts found that Extenbro is distributed as part of malware from the Trojan.IstartSurf bundle family.

In order to demonstrate unwanted advertising, Extenbro changes the DNS settings in the victim’s system. 그 위에, the researchers note that

“Moreover, if a user opens the settings and switches to the Advanced DNS tab, he will find that four new DNS servers have appeared in the system at once, and not two, 보통의 경우와 같이. 운수 나쁘게, not all users will be able to switch to advanced settings and pay attention to the fact that there are not two, but four servers at once”, – note the specialists of Malwarebytes Labs.

What is worse, if the victim tries to get rid of the fraudulent DNS servers by deleting them, the malware will re-add them to the settings after each system restart, since at the infection stage, a scheduled task with a random name is created for this.

독서  이상 50,000 MS-SQL 및 phpMyAdmin을 서버는 ​​루트킷과 광부에 의해 감염

또한, malware completely disables the IPv6 system so that the victim cannot bypass the malicious DNS servers and protect his computer. Another “safety net” is adding a new root certificate to Windows root certificates and making changes to the Firefox user.js 파일 (그만큼 security.enterprise_roots.enabled parameter is set to true).

This forces Firefox to use the Windows certificate store, where the attacker’s root certificate was added.

에서 Malwarebytes Labs blog, you can find instructions on how to remove such malware from the system, and there were also published all the necessary indicators of compromise.

[합계: 0    평균: 0/5]

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

Heroku가 클라우드 플랫폼에 MageCart

연구진은 여러 MageCart 웹 스키머에 Heroku가 클라우드 플랫폼 발견

Malwarebytes 연구원은 Heroku가 클라우드 플랫폼에서 여러 MageCart 웹 스키머를 찾는 것에 대해보고 …

안드로이드 스파이웨어 CallerSpy

안드로이드 채팅 응용 프로그램으로 CallerSpy 스파이웨어 마스크

트렌드 마이크로의 전문가들은 악성 코드 CallerSpy 발견, 안드로이드 채팅 응용 프로그램으로하는 마스크와, …

회신을 남겨주