Что такое вирус dns changer

1. Удалите программу из Панели Управления

2. Исправьте настройки браузера

Что это за программа DNS Changer

DNS Changer можно причислить к классу нежелательного рекламного программного обеспечения (с англ. Adware, hijackers). Подобные программы имеют одно существенное отличие от вирусов – они не наносят прямого урона компьютеру. Зачастую, вирус нацелен на то, чтобы пробраться в систему, и сразу же начать свою диверсионную деятельность. Рекламное ПО не станет атаковать так сразу. Вирусное ПО легко вычислить почти сразу же после его попадания в систему, так как оно тут же начнет делать то, к чему его готовили: удалять, шифровать или красть важные папки, встраиваться в функциональные компоненты компьютера и блокировать их, и всё в том же духе. Рекламное ПО, такой как DNS Changer, проникнув в систему, скорее всего не станет высовываться, и в срочном порядке обеспечит себе безопасность, сделав везде сохранённые копии, запланирует задачи на автоматическую инсталляцию, и наладит соединение с сайтом для постоянного апдейта. И уже после всех этих забот, когда DNS Changer уже не получится деинсталлировать без долгой подготовки, он принимается за дело. Обычно это проявляется в сильно увеличившемся количестве рекламы в браузере. Если раннее вы буквально не замечали рекламы, то теперь она будет на любом сайте, а иногда и в двух-трёх экземплярах! К тому же, вскоре окажется, что невероятным образом сменилась поисковая система по умолчанию. Помимо всего прочего, постоянная работа DNS Changer плохо влияет на общую производительность ПК, и увеличивает время отклика системы.

Давно пора разобраться в том, что же взаправду делает DNS Changer в системе. Не забывайте о том, что главное предназначение программного обеспечения этого рода – это увеличение трафика на определенных сайтах. Практически, производители подобных программ имеют прибыль с того, что ставят пользователей в условия, в которых они вынуждены заходить на определенные сайты. Как ни прискорбно, предпочтения пользователей при этом никому не интересны. Потому, когда вы включите браузер, в системе, зараженной DNS Changer, то вы непременно прочтете о том, где купить часы-браслет. Об этом рассказывает большой текст на стартовой странице, и на странице новой поисковой системы, и при открытии новой вкладки. Когда вы захотите, вас мгновенно направит на похожий сайт, но уже по продаже итальянских портмоне. Та же самая страница будет обнаружена и введя любую фразу в поисковую систему. Как вы уже поняли, эти утилиты не могут ничего найти в интернете, они только выбирают из страниц, которые купили услуги по раскрутке. Активные элементы начнут мешать вам пользоваться веб-сайтами. Пусть даже вы сможете попасть на нужный вам сайт, adware помешает вам им пользоваться, из-за того, что все поля с нужной и интересной информацией закроются надоедливыми, активными рекламными блоками. Здесь описаны самые плохие последствия инфицирования. Чтобы всё стало так печально, понадобится не менее, чем одна-две недели функционирования DNS Changer. Всё может быть значительно хуже!

Утилита для удаления DNS Changer

Любой вирус можно удалить собственноручно, или же воспользоваться специальным программным обеспечением. И тот и другой способ надёжны в равной мере, и отнимают приблизительно один промежуток времени при одноразовом удалении. Однако, если вы решили вручную очищать ПК, зараженный более чем 5-6 вирусами, вы должны иметь довольно большой опыт. Удаление одного вируса собственноручно занимает примерно столько же времени, сколько займет скачивание и инсталляция антивируса, вместе с общим сканированием и очисткой. Но при установленном антивирусе, удалить любую угрозу будет в разы проще, чем пытаться сделать то же самое самому. И, наконец, неоспоримое достоинство автоматического способа удаления вирусов – длительная защита! Воспользовавшись качественной антивирусной программой, вы делаете свой ПК защищенным от большей части внешних угроз. Но почему же не от всех? По той причине, что от никакой антивирус не обеспечит абсолютной защиты. Свежие вредоносные программы разрабатываются сотнями каждый день, и самые успешные их версии фиксируются в базах данных сразу же, а оставшиеся – через неделю, а иногда и больше. Даже самый качественный антивирус может ещё не иметь в базе данных именно того вируса, который вы сегодня загрузили на свой компьютер. Из-за этого, мы рекомендуем не полагаться на показания одного антивируса, и подстраховывать главный антивирус вторым. Работая в щадящем режиме, они не станут перегружать процессор, а полное сканирование можно производить и не одновременно. Используя эту схему, вы обеспечите свой пк практически полной защитой.

Как удалить DNS Changer вручную

Если же вы всё же решили удалять DNS Changer собственноручно, то вам будет лучше начать с удаления вируса ПО из панели управления.

Инструкция по удалению DNS Changer из Windows 7 и Windows XP

1. Удалите DNS Changer из Панели управления:

• Нажмите Пуск
• Кликните на Панель управления
• Кликните на Программы
• Кликните на Удаление программы
• Выделите DNS Changer и нажмите Удалить

2. Удалите оставшиеся файлы и папки

3. Проверьте следующие ключи реестра, если они присутствуют, удалите (Для запуска реестра Нажмите Пуск; напечатайте Regedit.exe, нажмите на клавиатуре кнопку Enter)

Инструкция по удалению из Windows 8

1. Быстро проведите пальцем от правой границы экрана и затем коснитесь элемента Поиск. (Если вы используете мышь, переместите указатель в верхний правый угол экрана, затем вниз и щелкните Поиск.)

2. Введите в поле поиска Панель управления, а затем коснитесь пункта Панель управления или щелкните его.

3. В разделе Просмотр: выберите пункт Крупные значки, а затем — Программы и компоненты.

4.Коснитесь программы или щелкните ее, а затем выберите Удалить.

5. Следуйте инструкциям на экране.

6. Удалите папки и ключи реестра, указанные для Windows 7.

Инструкция по удалению из Windows 10

1. В поле поиска напечатайте Control Panel

2. Кликните Uninstall a program

3. Выберите DNS Changer и кликните Uninstall

Как удалить DNS Changer из браузера

Потом нужно только деинсталлировать DNS Changer из того браузера, который вы используете, не отклоняясь от приведенных ниже советов.

Инструкция по удалению DNS Changer из Google Chrome

1. Проверьте наличие дополнения:

• Запустите Google Chrome
• Щелкните на Меню (Настройка и управление Google Chrome)
• Наведите курсор на Дополнительные инструменты
• Щелкните на Расширения
• Напротив DNS Changer нажмите на значок с мусорной корзиной
• В открывшемся диалоговом окне подтвердите удаление

2. Проверьте настройки домашней страницы:

• Запустите Google Chrome
• Щелкните на Меню (Настройка и управление Google Chrome)
• Выберите Настройки
• Щелкните на кнопку Добавить в меню "При запуске открывать"
• Для открытия чистой страницы добавляем запись "about:blank"

Инструкция по удалению DNS Changer из Mozilla Firefox

1. Проверьте расширения:

• Запустите Mozilla Firefox
• Щелкните на Меню
• Щелкните на Дополнения
• Выберите вкладку Расширения
• Выберите DNS Changer и нажмите Отключить

2. Настройки домашней страницы:

• Запустите Mozilla Firefox
• Щелкните на Меню
• Щелкните на Настройки
• Во вкладке Основные измените поле домашняя страница на "about:blank"

3. Для изменения открываемой новой вкладки:

• В адресную строку вбить "about:config";
• Согласиться с предупреждением;
• Найти выражение “browser.newtab.url”;
• Щелкнуть по нему правой кнопкой и перезагрузить

1. Для удаления расширения:

2. Для изменения домашней страницы:

3. Для изменения вкладок:

Если после выполнения всех предписаний, DNS Changer до сих пор функционирует на вашем компьютере, значит нужны более решительные меры. Вы не успели в своё время удалить DNS Changer, DNS Changer обеспечил свою безопасность и нынче ваш компьютер - его дом родной. Иногда DNS Changer создаёт отложенные задачи по восстановлению, или перенастраивает свойства ярлыка браузера. Верните свойства в первоначальное состояние, и выполните все действия еще раз. Так или иначе, программы такого рода совсем не легко удалить, и если вы поймёте, что уже потратили слишком много времени на ручное удаление – не забудьте про заманчивую и эффективную альтернативу!

Как же DNS Changer проникает на ПК

Какой антивирус лучше всего подойдёт для удаления DNS Changer

Выбор антивирусной программы у всех происходит по-разному. Некоторые воспользуются рекомендациями родных, кто-то – последует совету, найденному на форуме, кто-то доверится рекламе, или пакету заявленных услуг и бонусов. Особо искушенные клиенты скачивают себе триалки и испытывают их, до того как приобрести антивирус. Все эти способы совсем не плохи, но они слишком субъективны. Мы же сейчас постараемся разобраться, какие именно качества антивирусной программы важны пользователю.

Итак, выбор №1 – платное или бесплатное антивирусное программное обеспечение. Многие могут уверенно доказывать, что есть множество бесплатных антивирусов, которые лучше чем дорогостоящие товары известных разработчиков, но найдутся и такие, кто убежден, что разумнее будет заплатить деньги за действительно хороший антивирус, чем "париться" с дешевой поделкой, не выполняющей свои функции. Не станем переубеждать ни тех, ни других, ведь фактически, качественные антивирусные программы встречаются и среди платных и среди бесплатных. Единственное серьезное отличие в том, что платные антивирусы зачастую могут себе позволить намного более профессиональную систему тех-поддержки. Также, платные антивирусы часто используются юридическими лицами, так как при покупке ПО разработчик и клиент заключают договор, и в случае аврала, разработчики антивирусного программного обеспечения обязаны будут удовлетворить претензии клиента.

Вроде бы всё понятно, теперь обсудим другие характеристики. Антивирусная программа должна, представьте себе, избавляться от вирусов! Смешно, конечно, но фактически, многие антивирусные утилиты просто не могут увидеть вирусов, вредоносных программ и прочего нежелательного софта, зато каждый день обнаруживают так называемые "опасности" в базовых программах или играх. Нет нужды скачивать антивирусную программу, чтобы узнать, так ли она хороша: можно просто полазить по специальным сайтам, и прочесть там отзывы, или поискать рейтинг антивирусов. Следующий параметр – скорость работы. Удаление вирусов должно происходить быстро, не отнимая у клиента слишком много времени. Кроме того, важен параметр загруженности ЦП, который должен быть невысоким как в фоновом режиме, так и при активном сканировании и исправлении проблем. Особую важность этот параметр приобретает если вы будете пользоваться более чем одним антивирусом. В том же случае, если вы хотите использовать только один антивирус – нужно обязательно убедиться в ежедневном обновлении его базы данных, и что эти обновления включают самые опасные новые вирусы. И наконец, уже упомянутый нами выше пункт – присутствие качественной круглосуточной технической поддержки. По всем этим параметрам чаще всего и происходит выбор антивирусного ПО рядовым покупателем. Исходя из этих предпосылок, мы выбрали антивирус, который в целиком отвечает всем заявленным стандартам: это Spyhunter от Enigma Software. Качественный, доступный, может работать параллельно с другими антивирусными программами, техническая поддержка обеспечивается 24/7, Spyhunter обращает внимание как на вирусы, так и на условно безопасные программы, например на рекламное ПО. Более ста тысяч юзеров по всему миру купили Spyhunter, и не жалеют об этом! Вы можете загрузить сканер прямо сейчас, и проверить ваш компьютер на найти на вашем компьютере вирусы, если они там есть, не затратив на это ни копейки. Если же ПК инфицирован, и он нуждается в очистке – приобретайте расширенную версию, и обеспечьте защиту своему ПК.

Видео по теме

Что такое DNS Changer Trojan

Скачать утилиту для удаления DNS Changer Trojan

Удалить DNS Changer Trojan вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

DNS Changer Trojan

lexplore.exe

Trojan

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

DNS Changer Trojan копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла lexplore.exe . Потом он создаёт ключ автозагрузки в реестре с именем DNS Changer Trojan и значением lexplore.exe . Вы также можете найти его в списке процессов с именем lexplore.exe или DNS Changer Trojan.

Если у вас есть дополнительные вопросы касательно DNS Changer Trojan, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите DNS Changer Trojan and lexplore.exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить DNS Changer Trojan в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Удаляет все файлы, созданные DNS Changer Trojan.

Удаляет все записи реестра, созданные DNS Changer Trojan.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления DNS Changer Trojan от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления DNS Changer Trojan.. Утилита для удаления DNS Changer Trojan найдет и полностью удалит DNS Changer Trojan и все проблемы связанные с вирусом DNS Changer Trojan. Быстрая, легкая в использовании утилита для удаления DNS Changer Trojan защитит ваш компьютер от угрозы DNS Changer Trojan которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления DNS Changer Trojan сканирует ваши жесткие диски и реестр и удаляет любое проявление DNS Changer Trojan. Обычное антивирусное ПО бессильно против вредоносных таких программ, как DNS Changer Trojan. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с DNS Changer Trojan и lexplore.exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные DNS Changer Trojan.

Удаляет все записи реестра, созданные DNS Changer Trojan.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Оставьте подробное описание вашей проблемы с DNS Changer Trojan в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с DNS Changer Trojan. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления DNS Changer Trojan.

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с DNS Changer Trojan, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены DNS Changer Trojan.

Чтобы избавиться от DNS Changer Trojan, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления DNS Changer Trojan для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления DNS Changer Trojan для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

DNS Changer Trojan иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие DNS Changer Trojan. Для сброса настроек браузеров вручную используйте данную инструкцию:

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: "inetcpl.cpl".

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: "inetcpl.cpl".

Выберите вкладку Дополнительно

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Supports WIFI, mobile connections, Ethernet and IPv6
Highly customizable, lots of features
Brazilian and German translation
For a full list of features scroll down

This app uses the Device Administrator permission.
This is in no way required any only used to prevent uninstallation if wanted by the user. No system settings are modified.
-----------------------------

Whilst it is fairly easy to adjust the DNS servers used by your device when using wifi, android offers no option to change the used DNS servers when using a mobile connection (2G/3G/4G etc.).
This App creates a VPN connection locally (No data leaves your phone using this VPN connection) to use your configured DNS servers on both wifi and mobile networks without needing root permissions.
Both Ipv4 and Ipv6 are usable, a feature which isn't supported on many phones (Even Android doesn't offer IPv6 DNS configuration in your wifi settings).

Nearly everything can be configured
Good resource management
No effect on battery life
Nearly no RAM consumed
Fast & Reliable
Simple to use
Works without root
Supports Wifi and mobile networks (2G/3G/4G)
Start on boot feature
Start when connecting to 3G/WIFI feature
Configure IPv4 and IPv6
IPv6 can be disabled
Use primary and secondary servers
Secondary servers aren't a must (leave the fields blank)
Set app as device admin to prevent uninstallation
Create shortcuts on your home screen to quickly change your DNS Server
Select from a list of pre-compiled Servers
Add own entries to it
Apps can be excluded from using the DNS servers
Enter your own DNS Servers
Tasker support (Action plugin)
Ad-free & no tracking inside the app
Material design
App and notification can be protected by PIN
Different selectable themes (default, mono, dark)
Apps can be excluded from having the DNS server applied to them
Can be started/stopped by QuickSettings (Tiles in the notification menu at the top)
Open source
Frequently updated
Easily debuggable, thanks to internal logging (must be enabled by you & nothing is sent automatically)

Присутствует поддержка WIFI, мобильного интернета, Ethernet и IPv6
Множество функций и настроек.
Бразильская и немецкая локализация (перевод)
Полный список функций описан ниже

Это приложение использует разрешение администратора устройства.
-----------------------------

Довольно просто настроить DNS-серверы, используемые вашим устройством при использовании Wi-Fi,но андроид не предлагает менять DNS-серверы при использовании мобильного соединения (2G / 3G / 4G и т. Д.).
Это приложение создает VPN-соединение локально (данные не удаляются из вашего телефона с использованием этого VPN-соединения), чтобы использовать настроенные DNS-серверы как в беспроводных сетях, так и в мобильных сетях без необходимости получения прав root.
Оба Ipv4 и Ipv6 могут использоваться, что не поддерживается на многих телефонах (даже Android не поддерживает настройку DNS IPv6 в настройках вашего Wi-Fi).

Широкие настройки
Приложение не сильно нагружает процессор
Не влияет на срок службы батареи
Не использует много оперативной памяти
Быстрое и надежное соединение
Простой в использовании
Работает без root прав
Поддержка Wi-Fi и мобильных сетей (2G / 3G / 4G)
Автоматический запуск приложения при подключении к 3G / WIFI
Настройка IPv4 и IPv6
IPv6 можно отключить
Можно использовать два DNS сервера одновременно
Вторичные серверы не являются обязательными (можете оставить поля пустыми)
Создайте ярлыки на главном экране, чтобы быстро изменить свой DNS-сервер
Выберите из списка предварительно скомпилированных серверов
Добавьте в него свои сервера
Поддержка Tasker (Action plugin)
Без рекламы и без отслеживания внутри приложения
Приложение и уведомление могут быть защищены PIN-кодом
Различные выбираемые темы (по умолчанию, моно, темные)
Приложения могут быть исключены из того, что к ним применяется DNS-сервер
Может быть запущен / остановлен с помощью быстрых настроек в шторке (Плитки в меню уведомлений вверху)
Открытый исходный код
Часто обновляется
Легко настраивается

Семейство файловых инфекторов Win32/Sality известно уже давно и использует ботнет на основе P2P еще с 2003 г. Sality может выступать как в роли вируса, так и даунлоадера других вредоносных программ, которые используются для рассылки спама, организации DDoS, генерации рекламного трафика или взлома VoIP аккаунтов. Команды и файлы, передаваемые через сеть Sality, зашифрованы с использованием RSA (т. н. цифровая подпись). Модульная архитектура вредоносной программы, а также долговечность ботнета показывает насколько хорошо злоумышленники подошли к созданию этого вредоносного кода.

IP-адрес, который используется в качестве основного DNS-сервера на скомпрометированном роутере, на самом деле, является частью сети Win32/Sality. Существует еще одна модификация вредоносной программы – Win32/RBrute.B, она устанавливается Sality на скомпрометированных компьютерах и может выступать в качестве DNS или HTTP прокси-сервера для доставки поддельного установщика браузера Google Chrome к пользователям, которые были перенаправлены через вредоносный роутер.

Можно сказать, что техника модификации основного DNS роутера уже достаточно распространена для различных целей, начиная, с целей кражи данных онлайн-банкинга и заканчивая блокированием подключений клиента к веб-сайтам security-вендоров. Особенно это стало актуально в связи с недавним обнаружением уязвимостей в firmware различных моделей роутеров. Win32/RBrute.A пытается найти административные веб-страницы роутеров путем сканирования диапазона IP-адресов, полученных с C&C-сервера. В дальнейшем, отчет об этой операции будет отправлен обратно на C&C-сервер. На момент проведения нашего анализа, Win32/RBrute.A использовался для получения доступа к следующим моделям роутеров:

Эта вредоносная программа чем-то напоминает известный DNSChanger, который перенаправлял пользователей на установку вредоносных программ через рекламу поддельного ПО. На сами рекламные сайты пользователь перенаправлялся через вредоносный DNS.

После того как операция установки DNS-сервера завершена, DNS-запись роутера для этого ПК становится бесполезной и ОС будет использовать явным образом прописанный в реестре сервер. С другой стороны, другие компьютеры, которые будут пытаться подключиться к этому роутеру, подвергнутся вредоносным перенаправлениям, так как DNS-запись роутера по-прежнему модифицирована.

Вредоносный код Win32/Sality, который занимается модификацией DNS-сервиса роутера, состоит из двух исполняемых файлов: сканер адресов роутеров и DNS/HTTP-сервер.

Рис. Блок-схема работы Win32/RBrute.A.

После того как IP-адрес отправлен на C&C, бот получает команду на вход в панель управления роутером. При этом используются логин и пароль, выданные C&C. В случае успешного входа, вредоносный код модифицирует адрес основного DNS-сервера, который теперь будет указывать на другой компьютер, зараженный другой модификацией RBrute – Win32/RBrute.B.

Ранее мы упоминали компонент вредоносной программы, который выполняет роль DNS/HTTP-сервера. Он обнаруживается как Win32/RBrute.B и выполнение его кода делится на три потока: управляющий поток, поток DNS-сервера и поток HTTP-сервера. Хотя этот вредоносный компонент может одновременно запустить и DNS- и HTTP-сервисы, на самом деле, он выбирает для запуска какой-то один из них с использованием случайно сгенерированной величины. Специальная константа в формуле используется для гарантии, что в 80% случаях бот будет работать как DNS-сервер, хотя в начальный период отслеживания операции с использованием этой вредоносной программы мы наблюдали константу, которая гарантировала 50% случаев работы в качестве DNS.

Рис. Код выбора DNS- или HTTP-сервера для старта.

RBrute.B имеет и другую ветвь кода, которая исполняется в том случае, когда вышеприведенный код отработал неверно.

Рис. Иной механизм запуска потоков HTTP/DNS-серверов в коде вредоносной программы.

Управляющий поток (control thread) используется для отправки данных, собранных вредоносной программы, обратно на C&C-сервер. Каждые две минуты RBrute.B отправляет пакет данных по жестко зашитому IP-адресу. Этот пакет содержит информацию о системе, в которой работает бот. Затем управляющий сервер предоставит боту IP-адрес, который будет использоваться для доставки поддельного установщика Google Chrome. Если бот работает в режиме DNS-сервера, то IP-адрес C&C-сервера будет совпадать с адресом, который нужно использовать в качестве сервера распространения поддельного установщика браузера. В противном случае, управляющий сервер отправит тот IP-адрес, который находится за пределами инфраструктуры Sality P2P и будет использоваться для распространения поддельных установщиков Chrome.

Ниже приводится информация о системе, которая отправляется управляющим потоком на удаленный сервер.

• Имя системы – GetComputerName().
• Зафиксированное время – GetLocalTime().
• Страна – GetLocaleInfo().
• Путь к директории Windows – GetWindowsDirectoryA().
• Название продукта ОС – из системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Product Name.
• Названия процессоров – из системного реестра HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\ \ProcessorNameString.
• Объем памяти GlobalMemoryStatus().
• Присутствие отладчика – IsDebuggerPresent().
• Количество памяти, используемое вредоносной программой GetProcessMemoryInfo().
• Время работы вредоносной программы – в минутах.
• Количество работающих потоков.

Пакет с информацией имеет следующий формат:

0x00 DWORD контрольная_сумма (CRC32)
0x04 WORD размер_полезной_нагрузки
0x06 BYTE не_используется
0x07 BYTE режим_работы (HTTP – 0x32 или DNS – 0x64)

Ниже показан скриншот с информацией пакета, отправленного на C&C.

Рис. Пакет, отправляемый ботом на удаленный сервер. Синим отмечено поле контрольной суммы, красным поле размера полезной нагрузки, черным зашифрованная константа режима работы сервера, зеленым зашифрованная информация о системе.

Информация о системе может иметь вид (в пакете зашифрована с использованием RC4):

9BC13555|24.03.2014 21:56:27|United States|C:\WINDOWS|Microsoft Windows XP|proc#0 QEMU Virtual CPU version 1.0|1|358|511|1117|1246|0|2|0|0|

Управляющий сервер затем ответит пакетом, который содержит IP-адрес для использования. Пакет имеет вид.

0x00 DWORD контрольная_сумма (CRC32)
0x04 WORD размер_полезной_нагрузки
0x06 BYTE не_используется
0x07 BYTE команда (0x02 – запустить или 0x03 – остановить сервис)
0x08 DWORD IP_адрес_сервиса (Система с запущенным Win32/Rbrute.B или другой HTTP-сервер)

Мы упоминали отдельный поток HTTP-сервиса в Win32/RBrute.B. Рассмотрим его более подробно. Этот сервис обслуживает пользователей, которые были перенаправлены через вредоносный DNS роутера на скачивание поддельного дистрибутива браузера Google Chrome. При получении запроса через HTTP, поток сервиса сначала проанализирует параметр User-Agent в заголовке. Дальнейшее поведение сервиса зависит от того, что находится в этом параметре.

В компоненте Win32/RBrute.B эта функция вызывается в начале исполнения вредоносной программы.

Рис. Отсюда производится вызов функции add_to_firewall_exception.

Аналогичный код находится в компоненте спам-бота, который принадлежит Sality.

Рис. Код спам-бота Sality, в котором вызывается add_to_firewall_exception.

Наши данные телеметрии показывают, что активность Win32/Sality в настоящее время снижается или, по крайней мере, остается на таком же уровне как в 2012 г. Мы полагаем, что сокращение числа обнаружений связано с низкой эффективностью текующих векторов заражения пользователей. Это могло бы объяснить тот факт, что злоумышленники ищут новые способы для распространения Win32/Sality.

Если мы посмотрим на статистику обнаружений Sality за последний год, то увидим небольшое увеличение количества обнаружений, примерно, в декабре 2013. Эта дата совпадает со временем первой активности компонента RBrute, который выполняет подмену DNS-сервиса роутера.

Мы не уверены в настоящей эффективности компонента RBrute для злоумышленников, поскольку подавляющее количество роутеров прослушивают только жестко фиксированное адресное пространство (т. е. 192.168.0.0/16), что делает панель управления недоступной из интернета. Кроме этого, компонент RBrute не выполняет сильный перебор паролей, а только пытается применить десять паролей из своего списка.

Простые векторы заражения пользователей вредоносным кодом Win32/Sality не могут быть достаточно эффективными, чтобы поддерживать популяцию ботнета на соответствующем уровне. Злоумышленники нуждались в новом способе распространения вредоносной программы и таким способом стал DNS hijacking для роутера. В зависимости от того, подвержен ли выбранный роутер эксплуатации, его жертвами перенаправлений может стать множество подключенных к нему пользователей. Мы рекомендуем использовать безопасные пароли для аккаунтов панелей управления роутеров, а также проверять действительно ли необходимо разрешать доступ к ней из интернета.