Описание и способы устранения вируса Trojan.SkynetRef.1

Безопасность 27.11.2012

Специалисты компании «Доктор Веб» предупреждают пользователей об активности троянского приложения Trojan.SkynetRef.1, которое представляет собой работоспособный локальный http-прокси сервер. Главное предназначение вируса – незаметная подмена открываемых страниц.
Распространяется вирус посредством нескольких специально созданных сайтов (специалисты по сетевой безопасности уже выявили большинство из них). Например, в этом замечены порталы downloadutorrent.info, downloadflashplayer.biz, operadownload.info, fvsn.org и некоторые другие аналогичные ресурсы. При попытке скачать какое-либо приложение с такого сайта, пользователю предлагается загрузить и установить на локальную машину специальное приложение-установщик. Программа всегда одинаковая, но имя различается в зависимости от выбранного объекта для закачки. В итоге на компьютер вместе с легитимной программой устанавливается вредоносное приложение Trojan.SkynetRef.1.

Устанавливается троянец в каталог %windir%\system32\ с именем SystemPropertiesAdvancedViewer.exe, после чего запускается загрузчиком. В результате оно инсталлируется в качестве системной службы под именем SystemPropertiesService. Далее троянец оповещает удаленный сервер об успешном заражении и передает сведения о версии операционной системы, собственной версии и тип используемого браузера. Для всех выявленных на компьютере обозревателей Trojan.SkynetRef.1 устанавливает в параметрах прокси-сервер 127.0.0.1, использующий порт 3129. Вся конфигурация прокси-сервера сохраняется в одном файле %windir%\system32\NTIONET6.SYS. Теперь вредоносная программа может самостоятельно подменять открываемые в браузере страницы согласно инструкциям в файле конфигурации.
Сигнатура вируса уже присутствует в вирусных базах Dr.Web, а адреса всех ресурсов, через которые распространяется вредоносный код, добавлены в базы антивируса SpIDer Gate. Но стоит учитывать, что после удаления троянца в параметрах обозревателя остается ссылка на прокси-сервер, что может затруднить доступ к сайту по протоколу http. После удаления всех зараженных файлов пользователю необходимо самостоятельно изменить данный параметр.
В Internet Explorer для этого необходимо снять выделение с пункта «использовать прокси-сервер для локальных подключений» в настройках параметров локальной сети (открыть их можно пройдя «Сервис» — «Свойства обозревателя» — вкладка «Подключения» — кнопка «Настройка сети»).
В Firefox идем в настройки («Инструменты» – «Настройки» – раздел «Дополнительные» — «Сеть» — «Соединение» — «Настроить»), находим там пункт «Настройка прокси для доступа в Интернет» и устанавливаем его значение «Без прокси».
В Google Chrome открываем окно «Настройка и управление» — «Параметры» — переходим в раздел «Расширенные» — «Изменить настройки прокси-сервера». Нажимаем кнопку «Настройка сети» и в появившемся окне снимаем выделение с пункта «Использовать прокси-сервер для локальных подключений».
В браузере Opera открываем «Настройки» — раздел «Общие настройки», заходим на вкладку «Расширенные»- «Сеть». Нажимаем на кнопку «Прокси-серверы» и в открывшемся окне удаляем все настройки.