В последнее время 360 центр безопасности обнаружил тип активно распространяющегося трояна «BrowserHijackerDriver», который заразил сто тысяч компьютеров за два дня. Троян маскирует себя как служебные программы и медиаплееры. Настоятельно рекомендуется скачать программное обеспечение с официальных сайтов вместо неизвестных источников.

Анализ

Пока пользователь загружает и устанавливает замаскированный медиаплеер, траянский файл запущен. Путь трояна:
%userprofile%\appdata\local\temp\8617386\ic-0.b2cbe292914f58.exe
Информация о файле:

Троян сначала запускает REG, чтобы избежать загрузки отчета о вредоносном программном обеспечении.
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT /v DontReportInfectionInformation /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

И затем напишит служебный файл.
C:\Program Files\Y2YyOTU5ZTMwZmViZ\MjBkZWY.exe

Запустить SC для создания команды:
create OTU5YTkwNjAzMz binPath= «rundll32.exe C:\Windows\ditwabiaqskrksxp.ditha IGfZlJ» start= auto

Троянский файл отправляет драйвер в папку драйвера \windows\system32\drivers\YWQ3OWIyMjFjNzh.sys и использует системную команду для создания группы драйверов PNP_TDI.
create YWQ3OWIyMjFjNzh binpath= system32\drivers\YWQ3OWIyMjFjNzh.sys DisplayName= YWQ3OWIyMjFjNzh type= kernel start= system group= PNP_TDI

Информация о драйвере:

Драйвер изменен из открытого исходного кода и содержит подпись technologieboussac.com. Он взаимодействует с интернет-устройствами, создавая различные имена устройств.

Имена устройств:

Троян загружает драйвер в интернет-устройства и изменяет интернет-пакеты.

Всплывают рекламные объявления, когда пользователь просматривает Интернет.

Напоминание

В последние дни мы обнаружили, что многие трояны активно распространяются. Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы избежать заражения троянами.