Всё о Windows 10
Windows 8
Windows 7
Новости Windows
Новости НеWindows
Безопасность
Программы
Вокруг софта
Мобильная жизнь
Игры
Интернет
Железо
Наука и техника
Бизнес
Колонка редактора
Не про софт
Программы
Игры
Блоги
Форум
Троян устанавливает поддельный браузер Google Chrome
Компания «Доктор Веб» 29 августа сообщает об обнаружении нового троянца – Trojan.Mutabaha.1. Он устанавливает на компьютер жертвы поддельную версию браузера Google Chrome, которая подменяет рекламу в просматриваемых веб-страницах. Ключевая особенность троянца Trojan.Mutabaha.1 — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Информация об этой технологии обхода UAC была впервые опубликована в одном из интернет-блогов 15 августа, и спустя всего лишь три дня в вирусную лабораторию «Доктор Веб» поступил первый образец эксплуатирующего именно этот способ троянца, который и получил название Trojan.Mutabaha.1. Указанная технология заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями. Троянец содержит характерную строку, включающую имя проекта: F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdbВ первую очередь на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера. Этот браузер имеет собственное имя — Outfire — и представляет собой специальную сборку Google Chrome. В процессе установки он регистрируется в реестре Windows, а также запускает несколько системных служб и создает задачи в Планировщике заданий, чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome — модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, потенциальная жертва может и не заметить подмены. Напоследок Trojan.Mutabaha.1 проверяет наличие в системе других версий браузеров, аналогичных своей собственной, генерируя их имена с помощью комбинации значений из двух списков-словарей. Всего таких вариантов насчитывается 56. Обнаружив другую версию браузера, Trojan.Mutabaha.1 сравнивает его имя с собственным (чтобы случайно не удалить самого себя), а потом при помощи системных команд останавливает процессы этого браузера, удаляет его записи из Планировщика заданий Windows и вносит соответствующие изменения в системный реестр. Установленный таким способом в системе поддельный браузер при запуске демонстрирует стартовую страницу, изменить которую в его настройках невозможно. Кроме того, он содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых пользователем веб-страницах. Помимо этого, браузер Outfire использует по умолчанию собственную службу поиска в Интернете, но ее при желании можно изменить в настройках приложения. Как сообщается, Антивирус Dr.Web детектирует и удаляет Trojan.Mutabaha.1.
|
|
Топ-сегодня: Безопасность
Сноуден посоветовал чиновникам не пользоваться WhatsApp и Telegram Бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден посоветовал чиновникам не пользоваться WhatsApp и Telegram и назвал более безопасные мессенджеры Как удалить данные без возможности восстановления Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить МВД Беларуси закрыло крупный русскоязычный хакерский форум Министерство внутренних дел и Следственный комитет Беларуси закрыли один из крупнейших хакерских форумов Рунета 19% уязвимостей для iOS оказались критическими В iOS обнаружили почти вдвое больше уязвимостей, чем в Android Как узнать имя пользователя Mail.Ru
Компания Mail.Ru Group хорошо известна своей заботой о приватности пользователей, и поэтому принадлежащие ей соцсети «ВКонтакте» и «Одноклассники» не удаляют удаленные фотографии, а почта не удаляет контакты |
Новые статьи: Безопасность
Сноуден посоветовал чиновникам не пользоваться WhatsApp и Telegram Бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден посоветовал чиновникам не пользоваться WhatsApp и Telegram и назвал более безопасные мессенджеры 19% уязвимостей для iOS оказались критическими В iOS обнаружили почти вдвое больше уязвимостей, чем в Android Файлы из переписки Telegram удалялись не до конца Разработчики мессенджера Telegram выпустили обновление, устраняющее серьезную угрозу приватности пользователей Россия лидирует по числу киберугроз для Android Эксперты пришли к выводу, что количество уязвимостей Android-устройств уменьшилось, однако доля действительно опасных образцов вредоносного ПО заметно возросла МВД Беларуси закрыло крупный русскоязычный хакерский форум
Министерство внутренних дел и Следственный комитет Беларуси закрыли один из крупнейших хакерских форумов Рунета |