Новый троян устанавливает на компьютер поддельный браузер Chrome
Опубликовал: FIELD LINE, 30-08-2016, 15:46, Софт / Железо, 11 652, 0
«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая устанавливает на компьютер жертвы поддельную версию браузера Google Chrome.
Зловред получил имя Trojan.Mutabaha.1. Его главная особенность — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Суть данной методики заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями.
Схема заражения ПК выглядит следующим образом. Сначала на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на заражённой машине запускается bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера.
Загружаемый браузер браузер носит имя Outfire — это специальная сборка Chrome, которая подменяет собой уже установленный в системе браузер Google. Поскольку злоумышленники используют стандартные значки Chrome, потенциальная жертва может и не заметить подмены.
После установки Outfire демонстрирует при запуске стартовую страницу, изменить которую в настройках обозревателя невозможно. Кроме того, этот браузер содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых пользователем веб-страницах. Outfire использует по умолчанию собственную службу поиска в Интернете, но её при желании можно изменить в настройках приложения.
Зловред получил имя Trojan.Mutabaha.1. Его главная особенность — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Суть данной методики заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями.
Схема заражения ПК выглядит следующим образом. Сначала на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на заражённой машине запускается bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера.
Загружаемый браузер браузер носит имя Outfire — это специальная сборка Chrome, которая подменяет собой уже установленный в системе браузер Google. Поскольку злоумышленники используют стандартные значки Chrome, потенциальная жертва может и не заметить подмены.
После установки Outfire демонстрирует при запуске стартовую страницу, изменить которую в настройках обозревателя невозможно. Кроме того, этот браузер содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых пользователем веб-страницах. Outfire использует по умолчанию собственную службу поиска в Интернете, но её при желании можно изменить в настройках приложения.