Выявлен и изучен троян, загружающий на ПК поддельный Google Chrome

Аналитики российского разработчика решений по иформбезопасности, известных миру под торговой маркой «Dr.Web®», изучили особенности новой угрозы для Windows-устройств - троянца «Trojan.Mutabaha.1», которому удается инсталлировать на пользовательский PC поддельный browser Chrome практически незаметно для юзера. Только через определенное время возникают сомнения у владельца устройства, поскольку кардинально изменяется содержание рекламы на посещаемых ресурсах.

Зловред, именуемый, с учетом стандартов «Dr.Web» довольно замысловато, Trojan.Mutabaha.1, исхитряется «обмануть» предусмотренный Windows механизм контроля учетных записей (UAC), а затем активировать вредоносный софт-установщик, наделенной, к тому же, повышенными привилегиями, использовав для этого один из логических компонентов многоуровневой архитектуры реестра. В троянце имеется строка, указывающая на способ его проникновения в  десктоп пользователя, минуя UAC (without_uac) - F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb.

Примечательно, что всего за несколько дней до фиксирования первого инцидента с применением нового троянца, на ресурсе «Softpedia» описан был способ, как может быть обойден защитный механизм UAC. Прошло немного времени и из глубин DarkNet появился новый зловред, дополняющий маркетинговые приложения.

Хоть еще не известен механизм распространения нового маркетингового зловреда, поражение троянцем компьютера жертвы осуществляется по следующей схеме:

- на первом этапе  запускается Dropper, обеспечивающий сохранность зловреда на диске и последующую активацию софта-установщика;

- после этого активируется .bat-файл, удаляющий Dropper, а вместе с ним и следы успешно проведенного «заражения»;

- установочный софт зловреда соединяется с controlling server, откуда и поступает конфигурационный файл, с указанным URL, где и происходит скачивание браузера-близнеца, внешне мало отличимого от Google Chrome.

«Заточенная» под конкретные маркетинговые цели компоновка Google Chrome, имеющая уже и название Outfire, «обучена» не только проводить регистрацию в Windows Registry, но и отдает указания Планировщику задач, предусматривающие загрузку и инсталляцию апдейтов поддельного браузера. Outfire удается заменить уже инсталлированный ранее Google Chrome, изменяя либо меняя привычные для пользователя ярлыки, копируя в поддельный веб-обозреватель профиль пользователя из считавшегося надежным интернет «навигатора» Гугл Хром. Владельцы PC, ставшие жертвами нового троянца, могут долгое время не замечать подмену, поскольку маркетинговым браузером Outfire используются стандартные значки Google Chrome.

На этом троян не прекращает своей деятельности по расчистке себе «места под солнцем». Он самостоятельно сканирует в OS Windows наличие всех обновлений web-обозревателей, давая им названия, чтобы в процессе удаления «конкурента» из записей Планировщика заданий не деинсталлировать самого себя. Необходимые для успешной работы поддельного browser изменения, вносятся и в Windows Registry.

Поддельный browser Outfire, установленный без ведома владельца PC, открывает «свою» стартовую страницу, не позволяя в ручном режиме внести корректировки в настройки, где предусмотрена неотключаемая функция, заменяющая рекламу на просматриваемом сайте. Outfire, к тому же, пользуется лишь собственным поисковиком в Интернете, который, все же, удается отключить пользователю.

Специалисты интегратора Open Vision акцентируют внимание пользователей Windows-устройств, что антивирус Dr.Web вполне успешно выявляет и производит удаление Trojan.Mutabaha.1.

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.