Tref підміняє веб-сторінки у вікні браузера, віруси

Trojan.SkynetRef - троянська програма, що представляє собою локальний http-проксі сервер, основним призначенням якого є підміна веб-сторінок у вікні браузера.

Для поширення трояна вирусописатели створили кілька повноцінних веб-сайтів, з використанням яких здійснюється роздача шкідливого програмного забезпечення. Серед них:

Tref підміняє веб-сторінки у вікні браузера, віруси
Tref підміняє веб-сторінки у вікні браузера, віруси

При спробі отримати який-небудь додаток з одного з належних зловмисникам інтернет-ресурсів користувачеві пропонується завантажити і запустити спеціальну програму-інсталятор. Додаток завжди однакове, однак його ім'я може відрізнятися в залежності від обраного користувачем об'єкта для подальшого завантаження. З власного імені установник і визначає, що саме бажає скачати користувач. Якщо змінити ім'я цього файлу (якраз це і відбувається в разі його перевірки різними автоматизованими службами), установник припиняє роботу. Якщо ж ім'я справджується, він завантажує і встановлює на комп'ютері користувача не тільки обрану їм легітимну програму, а й трояна Trojan.SkynetRef.

Tref підміняє веб-сторінки у вікні браузера, віруси

Троян поміщається в папку


після чого завантажувач запускає це шкідливий додаток на виконання. В результаті воно встановлюється в якості системної служби з ім'ям


Потім троян повідомляє про успішне завершення інсталяції на віддалений керуючий сервер, а також передає зловмисникам відомості про власної версії, версії операційної системи і використовуваного браузера. Для всіх виявлених на комп'ютері браузерів Trojan.SkynetRef прописує в налаштуваннях проксі-сервер 127.0.0.1, що працює на порту 3129. Конфігурацію проксі-сервера троян зберігає у файлі


Після цього шкідлива програма може підміняти в браузері сторінки переглядаються користувачем сайтів відповідно до параметрів, зазначених в її файлі конфігурації.

  • в Internet Explorer слід скинути прапорець "використовувати проксі-сервер для локальних підключень" у вікні "Налаштування параметрів локальної мережі" ( "Сервіс" - "Властивості оглядача" - "Підключення" - "Налаштування мережі");
  • в Firefox - встановити перемикач "Параметри проксі для доступу в Інтернет" в позицію "Без проксі" ( "Інструменти" - "Налаштування" - "Додаткові" - "Мережа" - "З'єднання" - "Налаштувати");
  • в Google Chrome відкрити вікно "Налагодження та управління" - "Параметри" - "Розширені" - "Змінити налаштування проксі-сервера" і, натиснувши на кнопку "Налаштування мережі", скинути прапорець "використовувати проксі-сервер для локальних підключень";
  • в Opera відкрити вікно "Налаштування" - "Загальні налаштування", перейти до вкладки "Розширені" - "Мережа", натиснути на кнопку "Проксі-сервери" і видалити всі наявні у вікні настройки.