Вредонос заразил около 1 млн компьютеров по всему миру
За последние несколько лет сотни тысяч компьютеров оказались инфицированы вредоносом, подменяющим результаты поиска в браузере. Ботнет перехватывает поисковые запросы в Google, Bing и Yahoo! с компьютеров пользователей и заменяет легитимные результаты поиска на поддельные из созданной преступниками поисковой системы. Как сообщают исследователи из компании Bitdefender, злоумышленники совершают подмену с помощью вредоносной программы Redirector.Paco. С сентября 2014 года вредонос инфицировал более 900 тыс. компьютеров по всему миру, преимущественно в Индии, Малайзии, Греции, США, Италии, Пакистане, Бразилии и Алжире.
Вредонос включен в модифицированный пакет установки таких хорошо известных программ, как WinRAR, Connectify, YouTube Downloader, Stardock Start8 и KMSPico. После установки на компьютер жертвы, вредонос изменяет интернет-настройки и использует прокси-сервер, указанный злоумышленниками в файле PAC (Proxy auto-config). Redirector.Paco устанавливает на инфицированном компьютере корневой сертификат, сгенерированный вредоносом. Затем вредоносное ПО генерирует поддельные сертификаты для Google, Yahoo! и Bing, которые принимает браузер жертвы. Redirector.Paco устанавливает уникальный корневой сертификат на каждый зараженный компьютер.
Существует две разновидности вредоноса. Первая версия использует удаленный сервер для размещения PAC-файла и прокси. Процесс подмены результатов поиска занимает некоторое время. Пользователь может наблюдать сообщения на панели состояния браузера наподобие «ожидание прокси туннеля» («waiting for proxy tunnel») или «загрузка скрипта прокси» («downloading proxy script»).
У второй разновидности PAC-файл и прокси хранятся на локальном компьютере. Эта версия создана с помощью платформы .Net, и влияние вредоноса на скорость работы браузера не так заметно. Функциональность перехвата HTTPS обеспечивается библиотекой .Net, называемой FiddlerCore, сообщает
SecurityLab.