FOR USERS

Library
My library

+ Add to library

Profile

Back to news

Doctor Web odkrywa trojana dla Windows instalującego fałszywą przeglądarkę Chrome

29 sierpnia 2016

Specjaliści Doctor Web przebadali nowego trojana o nazwie Trojan.Mutabaha.1. Instaluje on fałszywą wersję przeglądarki Google Chrome zdolną do podmieniania reklam na przeglądanych stronach www.

Trojan ten jest wart uwagi z przyczyny swojej zdolności do omijania systemu ochrony Windows — Kontroli Kont Użytkownika (User Accounts Control – UAC). Informacje o tej technologii zostały po raz pierwszy opublikowane na blogu internetowym 15 sierpnia 2016, a już trzy dni później pierwsze próbki tego trojana, nazwanego później jako Trojan.Mutabaha.1, pojawiły się w laboratorium Doctor Web. Technologia wykorzystana w wirusie opiera się na wykorzystaniu gałęzi rejestru systemowego do uruchamiania złośliwego programu który podniósł swoje uprawnienia. W kodzie trojana widać charakterystyczną linię zawierającą nazwę projektu:

F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb

W pierwszym kroku jednocześnie uruchamiane są program typu dropper, zapisujący plik instalatora na dysku i uruchamiający go, oraz plik BAT odpowiedzialny za usunięcie droppera. Następnie instalator łączy się z serwerem kontrolno-zarządzającym w celu odebrania pliku konfiguracyjnego określającego adres do pobrania przeglądarki.

Przeglądarka nazwana Outfire, jest specjalnie stworzoną wersją Google Chrome. Podczas instalacji rejestruje się w rejestrze systemowym Windows, uruchamia kilka usług systemowych i tworzy zadanie w Menedżerze Zadań Windows w celu załadowania i zainstalowania swoich aktualizacji. Dodatkowo Outfire modyfikuje zainstalowaną przeglądarkę Google Chrome usuwając lub tworząc nowe skróty i kopiując bieżące konto z informacjami użytkownika Chrome do nowej przeglądarki. Na koniec Trojan.Mutabaha.1 przeszukuje system pod kątem innych fałszywych przeglądarek, generując ich nazwy za pomocą kombinacji wartości wziętych z dwóch słowników. Całkowita liczba takich wariantów wynosi 56. Jeśli wykryje dowolną z nich, trojan porównuje nazwę znalezionej przeglądarki ze swoją własną (aby się upewnić, że trojan przez pomyłkę nie usunie sam siebie), a następnie wymusza zatrzymanie procesów tej przeglądarki, usuwa jej rekordy z Menedżera Zadań i modyfikuje rejestr systemowy Windows.

Gdy instalacja zostanie zakończona, fałszywa przeglądarka wyświetla stronę domową, która nie może być zmieniona w ustawieniach przeglądarki. Dodatkowo posiada ona gotowe rozszerzenie zaprojektowane do podmieniania reklam w przeglądanych stronach www i używa swojej własnej wyszukiwarki, która, co prawda, jest ustawiona jako domyślna, ale może być zmieniona w ustawieniach aplikacji.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają Trojan.Mutabaha.1 i tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2021

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125124, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A