Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web odkrywa trojana dla Windows instalującego fałszywą przeglądarkę Chrome

29 sierpnia 2016

Specjaliści Doctor Web przebadali nowego trojana o nazwie Trojan.Mutabaha.1. Instaluje on fałszywą wersję przeglądarki Google Chrome zdolną do podmieniania reklam na przeglądanych stronach www.

Trojan ten jest wart uwagi z przyczyny swojej zdolności do omijania systemu ochrony Windows — Kontroli Kont Użytkownika (User Accounts Control – UAC). Informacje o tej technologii zostały po raz pierwszy opublikowane na blogu internetowym 15 sierpnia 2016, a już trzy dni później pierwsze próbki tego trojana, nazwanego później jako Trojan.Mutabaha.1, pojawiły się w laboratorium Doctor Web. Technologia wykorzystana w wirusie opiera się na wykorzystaniu gałęzi rejestru systemowego do uruchamiania złośliwego programu który podniósł swoje uprawnienia. W kodzie trojana widać charakterystyczną linię zawierającą nazwę projektu:

F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb

W pierwszym kroku jednocześnie uruchamiane są program typu dropper, zapisujący plik instalatora na dysku i uruchamiający go, oraz plik BAT odpowiedzialny za usunięcie droppera. Następnie instalator łączy się z serwerem kontrolno-zarządzającym w celu odebrania pliku konfiguracyjnego określającego adres do pobrania przeglądarki.

Przeglądarka nazwana Outfire, jest specjalnie stworzoną wersją Google Chrome. Podczas instalacji rejestruje się w rejestrze systemowym Windows, uruchamia kilka usług systemowych i tworzy zadanie w Menedżerze Zadań Windows w celu załadowania i zainstalowania swoich aktualizacji. Dodatkowo Outfire modyfikuje zainstalowaną przeglądarkę Google Chrome usuwając lub tworząc nowe skróty i kopiując bieżące konto z informacjami użytkownika Chrome do nowej przeglądarki. Na koniec Trojan.Mutabaha.1 przeszukuje system pod kątem innych fałszywych przeglądarek, generując ich nazwy za pomocą kombinacji wartości wziętych z dwóch słowników. Całkowita liczba takich wariantów wynosi 56. Jeśli wykryje dowolną z nich, trojan porównuje nazwę znalezionej przeglądarki ze swoją własną (aby się upewnić, że trojan przez pomyłkę nie usunie sam siebie), a następnie wymusza zatrzymanie procesów tej przeglądarki, usuwa jej rekordy z Menedżera Zadań i modyfikuje rejestr systemowy Windows.

Gdy instalacja zostanie zakończona, fałszywa przeglądarka wyświetla stronę domową, która nie może być zmieniona w ustawieniach przeglądarki. Dodatkowo posiada ona gotowe rozszerzenie zaprojektowane do podmieniania reklam w przeglądanych stronach www i używa swojej własnej wyszukiwarki, która, co prawda, jest ustawiona jako domyślna, ale może być zmieniona w ustawieniach aplikacji.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają Trojan.Mutabaha.1 i tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A