Корпорация Microsoft распространила специальное сообщение, в котором рассказала о новом семействе вирусов Medfos. Эти вирусы последние несколько месяцев активно распространяются по всему миру; их задача – подмена результатов интернет-поиска рекламных целях.

Как сказано в сообщении Microsoft, для инфицирования системы Medfos использует компонент загрузчика, который распространяется несколькими способами. Злоумышленники часто используют взломанные web-сайты для переадресации пользователей на страницы с эксплойтами, а также используют уже существующие бот-сети и загружают вирус на скомпрометированные ранее системы.

Загрузчик Medfos устанавливается в каталог %AppData% и добавляет свои записи в системный реестр для усложнения его детектирования. Вслед за первичной установкой вируса с командного сервера загружается и устанавливается дополнительный компонент – он, собственно, и занимается подменой результатов интернет-поиска. С этой целью Medfos вклинивается в работу web-браузера. Например, основной модуль вируса может внедряться в процесс Internet Explorer, что не позволяет пользователю определить вредоносную активность. В случае остальных браузеров (например, Mozilla Firefox) вредонос вставляет собственный плагин. Причем для пользователя этот плагин выглядит легитимным – он даже выполняет полезные функции.

В тот момент, когда пользователь зараженной системы отправляет поисковый запрос одной из популярных поисковых систем, командный сервер получает данные, как о содержимом этого запроса, так и об используемом поисковике. После этого браузер пользователя переходит не по введенному пользователем адресу, а по URL, который присылает C&C сервер.

Виктор ДЕМИДОВ