DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Doctor Web odkrywa trojana dla Windows instalującego fałszywą przeglądarkę Chrome

29 sierpnia 2016

Specjaliści Doctor Web przebadali nowego trojana o nazwie Trojan.Mutabaha.1. Instaluje on fałszywą wersję przeglądarki Google Chrome zdolną do podmieniania reklam na przeglądanych stronach www.

Trojan ten jest wart uwagi z przyczyny swojej zdolności do omijania systemu ochrony Windows — Kontroli Kont Użytkownika (User Accounts Control – UAC). Informacje o tej technologii zostały po raz pierwszy opublikowane na blogu internetowym 15 sierpnia 2016, a już trzy dni później pierwsze próbki tego trojana, nazwanego później jako Trojan.Mutabaha.1, pojawiły się w laboratorium Doctor Web. Technologia wykorzystana w wirusie opiera się na wykorzystaniu gałęzi rejestru systemowego do uruchamiania złośliwego programu który podniósł swoje uprawnienia. W kodzie trojana widać charakterystyczną linię zawierającą nazwę projektu:

F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb

W pierwszym kroku jednocześnie uruchamiane są program typu dropper, zapisujący plik instalatora na dysku i uruchamiający go, oraz plik BAT odpowiedzialny za usunięcie droppera. Następnie instalator łączy się z serwerem kontrolno-zarządzającym w celu odebrania pliku konfiguracyjnego określającego adres do pobrania przeglądarki.

Przeglądarka nazwana Outfire, jest specjalnie stworzoną wersją Google Chrome. Podczas instalacji rejestruje się w rejestrze systemowym Windows, uruchamia kilka usług systemowych i tworzy zadanie w Menedżerze Zadań Windows w celu załadowania i zainstalowania swoich aktualizacji. Dodatkowo Outfire modyfikuje zainstalowaną przeglądarkę Google Chrome usuwając lub tworząc nowe skróty i kopiując bieżące konto z informacjami użytkownika Chrome do nowej przeglądarki. Na koniec Trojan.Mutabaha.1 przeszukuje system pod kątem innych fałszywych przeglądarek, generując ich nazwy za pomocą kombinacji wartości wziętych z dwóch słowników. Całkowita liczba takich wariantów wynosi 56. Jeśli wykryje dowolną z nich, trojan porównuje nazwę znalezionej przeglądarki ze swoją własną (aby się upewnić, że trojan przez pomyłkę nie usunie sam siebie), a następnie wymusza zatrzymanie procesów tej przeglądarki, usuwa jej rekordy z Menedżera Zadań i modyfikuje rejestr systemowy Windows.

Gdy instalacja zostanie zakończona, fałszywa przeglądarka wyświetla stronę domową, która nie może być zmieniona w ustawieniach przeglądarki. Dodatkowo posiada ona gotowe rozszerzenie zaprojektowane do podmieniania reklam w przeglądanych stronach www i używa swojej własnej wyszukiwarki, która, co prawda, jest ustawiona jako domyślna, ale może być zmieniona w ustawieniach aplikacji.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają Trojan.Mutabaha.1 i tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments