Специалисты «Доктор Веб» предупреждают об обнаружении трояна Trojan.Mutabaha.1. Малварь не просто атакует пользовательский браузер, но устанавливает на зараженный компьютер собственную сборку браузера Chrome, подменяя оригинал.

Главной отличительной чертой вредоноса является его умение обходить защитный механизм User Accounts Control (UAC). Исследователи пишут, что впервые информация об этой технологии обхода UAC была опубликована в интернете 15 августа 2016 года, и спустя всего три дня вирусная лаборатория компании обнаружила первый образец малвари (Trojan.Mutabaha.1.), который использовал данную технику.

Первым делом после заражения на компьютере запускается дроппер вредоноса, который повышает свои привилегии в системе, модифицируя ветки системного реестра HKCU\Software\Classes\mscfile\shell\open\command. Затем малварь сохраняет на диск и запускает приложение setup_52.3.2743.82_1471853250.exe, а также сохраняет и запускает .bat-файлы, предназначенные для удаления самого дроппера. Когда все готово, малварь связывается с управляющим сервером и получает от него файл конфигурации, в котором указан адрес для скачивания фальшивой версии браузера. Подделка устанавливается в папку C:\Program Files\Outfire и регистрируется в системном реестре.

Собственная сборка Google Chrome, созданная злоумышленниками, имеет имя Outfire. Помимо регистрации в реестре, браузер также запускает несколько системных служб и создает задачи в планировщике, чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome: модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, жертвы могут не заметить подмены.

outfire01
Обнаружить подмену действительно сложно

Покончив с основной задачей, Trojan.Mutabaha.1 ищет в системе другие поддельные браузеры. Их имена троян генерирует, проверяя комбинации значений из двух списков-словарей, суммарно предлагающих 56 вариантов. Если в системе обнаружен конкурент, Trojan.Mutabaha.1 останавливает его работу, удаляет его записи из Планировщика заданий и из реестра.

Зачем вообще нужен поддельный браузер? Стартовую страницу такого браузера нельзя изменить, а также он использует неотключаемую надстройку, которая подменяет всю рекламу на просматриваемых пользователем страницах. Это проверенный и известный способ монетизации. Кроме того, Outfire использует по умолчанию собственную службу поиска, хотя ее все-таки можно сменить в настройках.

2 комментария

  1. Jeffrey Davis

    30.08.2016 at 12:11

    Все теперь поняли зачем нужен open-source? Вот вам, пожалуйста.

    Малварь не просто атакует пользовательский браузер, но устанавливает на зараженный компьютер собственную сборку браузера Chrome

    Причём, всё по Станиславскому по Столлману — вы не придерётесь: доступ, адаптация, распространение — все свободы соблюдены. Только, как в том анекдоте, один маленький нюанс: это не ваши свободы, а кого-то более умного, гоняющего хомячков по колесу в клеточке.

    Зачем вообще нужен поддельный браузер?

    Ну, это очень старая тема, со времён windows 95 ещё, когда производитель принудительно внедрил в систему фальшивый броузер на радость массово нарождающимся хомячкам.
    Так что, изучайте историю, мать вашу, пока её всю совсем до полной неузнаваемости не уфальсифицировали.

  2. Kakoluk

    31.08.2016 at 11:00

    Не понял связи от рекламы открытого ПО, и установки поддельного браузера. По мне это притягивание фактов за уши.

    Свобода это иллюзия, «свобода» в мире который построили люди, это лишь свобода выбора багажа(убеждения), который придётся нести всю жизнь. Всё остальное обязанности.

Оставить мнение

Check Also

Промежуточные сертификаты позволяют следить за пользователями Firefox

Исследователь Александр Клинк установил, что промежуточные сертификаты можно использовать …