«Доктор Веб» предупреждает о появлении новой вредоносной
программы, которая устанавливает на компьютер жертвы поддельную версию браузера
Google Chrome.
Зловред получил имя Trojan.Mutabaha.1.
Его главная особенность — оригинальная технология обхода
встроенного в Windows защитного механизма User Accounts Control (UAC).
Суть данной методики заключается в использовании одной
из ветвей системного реестра Windows для запуска вредоносной программы с
повышенными привилегиями.
Схема заражения ПК выглядит следующим образом. Сначала
на атакуемом компьютере запускается дроппер, который сохраняет на диск и
запускает программу-установщик. Одновременно с этим на заражённой машине
запускается bat-файл, предназначенный для удаления дроппера. В свою очередь,
программа-установщик связывается с принадлежащим злоумышленникам управляющим
сервером и получает оттуда конфигурационный файл, в котором указан адрес для
скачивания браузера.
Загружаемый браузер браузер носит имя Outfire — это
специальная сборка Chrome, которая подменяет собой уже установленный в системе
браузер Google.
Поскольку злоумышленники используют стандартные значки Chrome,
потенциальная жертва может и не заметить подмены.
После установки Outfire демонстрирует при запуске
стартовую страницу, изменить которую в настройках обозревателя невозможно.
Кроме того, этот браузер содержит неотключаемую надстройку, подменяющую рекламу
в просматриваемых пользователем веб-страницах.
Outfire использует по умолчанию собственную службу
поиска в Интернете, но её при желании можно изменить в настройках
приложения.
