ОРЕНДА-НОВИНИ. Вірусні аналітики компанії «Доктор Веб» досліджували нового троянця - Trojan.Mutabaha.1. Він встановлює на комп'ютер жертви підроблену версію браузера Google Chrome, яка підміняє рекламу в переглядаються веб-сторінках.
Ключова особливість троянця Trojan.Mutabaha.1 - оригінальна технологія обходу вбудованого в Windows захисного механізму User Accounts Control (UAC). Інформація про цю технологію обходу UAC була вперше опублікована в одному з інтернет-блогів 15 серпня, і через всього лише три дні в вірусну лабораторію «Доктор Веб» надійшов перший зразок експлуатує саме цей спосіб троянця, який і отримав назву Trojan.Mutabaha.1. Зазначена технологія полягає у використанні однієї з гілок системного реєстру Windows для запуску шкідливої програми з підвищеними привілеями. Троянець містить характерну рядок, що включає ім'я проекту:
F: \ project \ C ++ Project \ installer_chrome \ out \ Release \ setup_online_without_uac.pdb
В першу чергу на атакується комп'ютері запускається дроппер, який зберігає на диск і запускає програму-інсталятор. Одночасно з цим на зараженій машині запускається .bat файл, призначений для видалення Дроппер. У свою чергу, програма-установник зв'язується з належним зловмисникам керуючим сервером і отримує звідти конфігураційний файл, в якому вказана адреса для скачування браузера.
Цей браузер має власне ім'я - Outfire - і являє собою спеціальну збірку Google Chrome. В процесі установки він реєструється в реєстрі Windows, а також запускає кілька системних служб і створює завдання в Планувальнику завдань, щоб завантажити і встановити власні оновлення. При цьому Outfire підміняє собою вже встановлений в системі браузер Google Chrome - модифікує наявні ярлики (або видаляє їх і створює нові), а також копіює в новий браузер існуючий профіль користувача Chrome. Так як зловмисники використовують стандартні значки Chrome, потенційна жертва може і не помітити підміни. Наостанок Trojan.Mutabaha.1 перевіряє наявність в системі інших версій браузерів, аналогічних своєї власної, генеруючи їх імена за допомогою комбінації значень з двох списків-словників. Всього таких варіантів налічується 56. Виявивши іншу версію браузера, Trojan.Mutabaha.1 порівнює його ім'я з власним (щоб випадково не видалити самого себе), а потім за допомогою системних команд зупиняє процеси цього браузера, видаляє його записи з Планувальника завдань Windows і вносить відповідні зміни до реєстру.
Встановлений таким способом в системі підроблений браузер при запуску демонструє стартову сторінку, змінити яку в його налаштуваннях неможливо. Крім того, він містить відключається надбудову, підміняти рекламу в переглядаються користувачем веб-сторінках. Крім цього, браузер Outfire використовує за замовчуванням власну службу пошуку в Інтернеті, але її при бажанні можна змінити в налаштуваннях програми.