ТРОЯН TROJAN.MUTABAHA.1 ОБХОДИТ UAC И УСТАНАВЛИВАЕТ ФАЛЬШИВЫЙ CHROME / chrome :: газетка :: новости :: троян

Eнoт Eнoт
chrome троян новости газетка 

ТРОЯН TROJAN.MUTABAHA.1 ОБХОДИТ UAC И УСТАНАВЛИВАЕТ ФАЛЬШИВЫЙ CHROME

Интернет Картинки Видео Нойсти ~а 11 ° I в si X у,chrome,троян,новости,газетка

Специалисты «Доктор Веб» предупреждают об обнаружении трояна Trojan.Mutabaha.1. Малварь не просто атакует пользовательский браузер, но устанавливает на зараженный компьютер собственную сборку браузера Chrome, подменяя оригинал.

Главной отличительной чертой вредоноса является его умение обходить защитный механизм User Accounts Control (UAC). Исследователи пишут, что впервые информация об этой технологии обхода UAC была опубликована в интернете 15 августа 2016 года, и спустя всего три дня вирусная лаборатория компании обнаружила первый образец малвари (Trojan.Mutabaha.1.), который использовал данную технику.

Первым делом после заражения на компьютере запускается дроппер вредоноса, который повышает свои привилегии в системе, модифицируя ветки системного реестра HKCU\Software\Classes\mscfile\shell\open\command. Затем малварь сохраняет на диск и запускает приложение setup_52.3.2743.82_1471853250.exe, а также сохраняет и запускает .bat-файлы, предназначенные для удаления самого дроппера. Когда все готово, малварь связывается с управляющим сервером и получает от него файл конфигурации, в котором указан адрес для скачивания фальшивой версии браузера. Подделка устанавливается в папку C:\Program Files\Outfire и регистрируется в системном реестре.

Собственная сборка Google Chrome, созданная злоумышленниками, имеет имя Outfire. Помимо регистрации в реестре, браузер также запускает несколько системных служб и создает задачи в планировщике, чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome: модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, жертвы могут не заметить подмены.

<- ■» с л D chrome://help Chrome О программе История Расширения Настройки Google Chrome Простой, быстрый и безопасный браузер Справочный центр Сообщить о проблеме О программе Версия 52.3.2743.82 ☆' = Google Chrome Ф Google Inc, 2016. Все права защищены. Браузер Google Chrome создан

Покончив с основной задачей, Trojan.Mutabaha.1 ищет в системе другие поддельные браузеры. Их имена троян генерирует, проверяя комбинации значений из двух списков-словарей, суммарно предлагающих 56 вариантов. Если в системе обнаружен конкурент, Trojan.Mutabaha.1 останавливает его работу, удаляет его записи из Планировщика заданий и из реестра.

Зачем вообще нужен поддельный браузер? Стартовую страницу такого браузера нельзя изменить, а также он использует неотключаемую надстройку, которая подменяет всю рекламу на просматриваемых пользователем страницах. Это проверенный и известный способ монетизации. Кроме того, Outfire использует по умолчанию собственную службу поиска, хотя ее все-таки можно сменить в настройках.



Подробнее
Интернет Картинки Видео Нойсти ~а 11 ° I в si X у
<- ■» с л D chrome://help Chrome О программе История Расширения Настройки Google Chrome Простой, быстрый и безопасный браузер Справочный центр Сообщить о проблеме О программе Версия 52.3.2743.82 ☆' = Google Chrome Ф Google Inc, 2016. Все права защищены. Браузер Google Chrome создан на основе проекта Chromium и другого программного обеспечения с открытым исходным кодом. Условия использования Google Chrome
chrome,троян,новости,газетка
Еще на тему
chrome

chrome(310)

новости

новости(11325)

Развернуть
Комментарии 59 30.08.201616:56 ссылка 21.0
ну хоть не амиго.
zumu zumu 30.08.201617:04 ответить ссылка 29.3
Блин, сейчас накаркаешь и эти пидарасы из "мыла" так свое говно продвигать начнут. Будешь пользоваться "Амиго" в оболочке "Хрома"
PuZzzLeMan PuZzzLeMan 30.08.201617:21 ответить ссылка 8.4
Они сделают проверку на установленные браузеры-конкуренты. И после проверки выведут ошибку: "Удалить ненужный хлам? Они могут быть опасны, а наши продукты защищены и бла-бла-бла". Начнется война за место на компе пользователя.
Dolian Dolian 30.08.201617:25 ответить ссылка 3.8
И восстанут программы из пепла форматировачного огня...
NNTeslaNN NNTeslaNN 01.09.201616:21 ответить ссылка 0.6
Меня никто не любит...
AMIGO AMIGO 30.08.201619:31 ответить ссылка 12.8
Я на этот фальшивый хром пол года назад наткнулся, сразу понял что тут что-то не чисто. Но он не давал его удалить или установить новый, каждый раз подменяя, а другие браузеры тоже заменились на хром. Я там ломал что мог, в итоге расковырял пол винды, удалил эту хуйню, но уже вся винда работала через жопу. В общем пришлось винду сносить.
AlanWake AlanWake 01.09.201616:47 ответить ссылка 0.1
"Если в системе обнаружен конкурент, Trojan.Mutabaha.1 останавливает его работу, удаляет его записи из Планировщика заданий и из реестра."
Самый простой способ удалить мылобраузер и прочее говно с компа.
Melatori Melatori 30.08.201617:04 ответить ссылка 25.6
Годнота какая. А где скачать и установить?
deadasyou deadasyou 30.08.201617:05 ответить ссылка 9.7
Дожили. Троян уничтожает трояны-конкуренты. А не спасет ли он страждущих от Амиго?
freak freak 30.08.201617:06 ответить ссылка 13.8
Пока писал, появились 2 шуточки про говнобраузеры. Мысли сходятся, однако.
freak freak 30.08.201617:08 ответить ссылка 0.6
мдаа, это как если бы в Троянскую войну греки ночью повылазили из коня, перебили всех шпионов других государств в трое, а потом переоделись в одежды троянских продавцов керамики(заранее убив и спрятав тела настоящих, само собой) и стали себе мирно жить(причем в семьях оригиналов) и незаметно продавать, вместо троянской, ГРЕЧЕСКУЮ(мухахахахах) керамику... и все...
Paascal Paascal 30.08.201617:14 ответить ссылка 21.1
А потом начнет и пароли воровать. Я не понимаю, что может помешать этому браузеру это сделать. Доверять трояну это как-то глупо. Даже на фоне Амиго.
Aragorn13 Aragorn13 30.08.201617:22 ответить ссылка 2.3
либо ты, действительно, настолько зануда... либо в данном случае ты тот самый единственный кто решил, что все данные разговоры серьезны, ибо
Paascal Paascal 30.08.201617:26 ответить ссылка 6.9
А что если это новый вид: трояны-друзья?
Лесной Лесной 30.08.201617:54 ответить ссылка 2.2
Друзьяны?
Van-ay Van-ay 30.08.201618:05 ответить ссылка 7.4
Такой вид не новый. Есть древняя легенда, согласно которой два кулхацкера создали троян-шифровальщик, который мешал в кашку все данные на компе юзера, а ключ обратной расшифровки генерился и хранился на серваке у злоумышленников. В общем 99.99994271% пользователей ничего не смогут сделать не заплатив, только если отформатировать винты. Причём ключ действительно присылали и всё возвращали. Так вот, через какое-то время те хакеры между собой посрались и один из них, чтоб насолить другому запилил собственный троян с блэк... который попадая на комп нейтрализовал тот первый, удалял все известные на тот момент вирусы которые находил, возвращал все данные в нормальный вид и в конце самоудалялся.
каракурт каракурт 30.08.201619:38 ответить ссылка 1.7
Оно бы так лучше уже ишака устанавливало, заменяя все прочии браузеры...
DoomBringer DoomBringer 30.08.201617:19 ответить ссылка 0.6
тссс, мелкомягкие если додумаются до этого, то 10 будет стоять и везде и всюду. а не только ишак.
Belgoriane Belgoriane 31.08.201607:37 ответить ссылка 0.1
Я так и не понял, каким образом происходит заражение? Путем запуска какого нибудь другого файла?
99% всякой хуйни в интернете для того чтобы ее подцепить требует запустить что нибудь левое, а если пользователь этим увлекается то его никакая защита и так не спасет.
wafk wafk 30.08.201617:36 ответить ссылка 1.0
Обход UAC? Кажется началось!
 В'..- чп гпп SI ED / D 5D D , 3D0
bear4862 bear4862 30.08.201618:22 ответить ссылка 5.9
Лучше б сразу написали как ваявить,что твой Хром,не Хром, а Похожий на Хром Троян.
Warhder Warhder 30.08.201618:30 ответить ссылка 0.6
Ну тут как бы и написано, что у тебя смениться стартовая страница и поиск, а так же появится реклама на сайтах, скорее всего даже на тех, на которых ее и не было, плюс ABP не будет ее убирать.
MaD_PiT MaD_PiT 31.08.201604:38 ответить ссылка 0.0
все же лучше,чем амиго
ashot@camshot ashot@camshot 30.08.201618:35 ответить ссылка -0.2
Дайте ссылку на скачку, мой брат наустановил мне этих МПЦ Клинеров, МПЦ Адблокеров, Амига,Комета, Поиск в Интернете, Майл Спутник и остальные раковые опухоли. Пусть разберется с ними.
Also is Me Also is Me 30.08.201619:53 ответить ссылка 0.2
Вспомнил жучка паразита который съедает рыбе язык, вгрызаясь в корень, начинает выполнять его функции, при этом высасывая кровь
mrBaddas mrBaddas 30.08.201621:22 ответить ссылка 5.5
"использует неотключаемую надстройку, которая подменяет всю рекламу на просматриваемых пользователем страницах"
эи, ты видел нашу рекламу? с у меня стоит AdBlock бешеные миллиарды... но мы же потратили...
Phenomenon Fox Phenomenon Fox 30.08.201621:32 ответить ссылка 2.3
Рекламодатели, сволочи, уже кучу денег вбухивают чтобы адблок обойти.
На том же фейсбуке постоянно вижу рекламу моего же провайдера. Написал им об этом, они прокомментировал, что они в шоке.
ElVivel ElVivel 31.08.201601:42 ответить ссылка 0.2
ну у ФБ с Адблоком вообще сейчас война идет.
Phenomenon Fox Phenomenon Fox 31.08.201614:00 ответить ссылка 0.1
А что он делает если у меня только огнелис?
void_the void_the 31.08.201610:10 ответить ссылка 0.3
вешается на ближайшем столбе )
Noctus Noctus 31.08.201611:31 ответить ссылка 0.8
хромоги должны страдать
krako krako 31.08.201618:18 ответить ссылка 0.2
Гуглохромопроблемы
prodisc prodisc 01.09.201616:38 ответить ссылка 0.3
Так в винде же сделали ввод пароля администратора при попытке установить что-нибудь? Разве нет?
Zenitur Zenitur 01.09.201616:20 ответить ссылка 0.0
Кто-то осталил эту надоедливую функцию включенной?
Doomrider Doomrider 01.09.201616:32 ответить ссылка 0.3
а если я на опере?
Алхимик666 Алхимик666 01.09.201616:28 ответить ссылка 0.0
Тогда постарайся не умереть со скуки, ну и не шуми сильно.
Bakshish Bakshish 01.09.201616:47 ответить ссылка 0.3
Только сегодня один такой поймал. Но uninstall tool его с маху удалил.
nimiod nimiod 01.09.201616:51 ответить ссылка 0.0
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы
браузеры

браузеры

интернет

интернет

хром

хром

длиннопост

длиннопост

вирус

mail.ru

троян

газетка


Тренды

Новый Год
S.T.A.L.K.E.R
Arcane (LoL)
Похожие посты
Кто должен победить? Windows 4W Defender Not_trojan.exe Узкоспециализированная прога начала 2000-х годов, рекомендованная преподом для расчета курсача, найденная в результате 3 часов гугления на каком-то индийском форуме 4 ta Антивирусы
подробнее»

текст на белом фоне антивирусы троян

Кто должен победить? Windows 4W Defender Not_trojan.exe Узкоспециализированная прога начала 2000-х годов, рекомендованная преподом для расчета курсача, найденная в результате 3 часов гугления на каком-то индийском форуме 4 ta Антивирусы
uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$ll u$$$$$$$S$$$$$$$S$$$S$S$S$u u$$$$$$$$$$$$$$$$$$$$$$$$$u «$$$« »S$S$S$u »$$$$» u$u $$$$« $$$u u$u u$$$ $$$u u$$$u «$$$ »$$$$uu$$$ $$$uuS$S$» «$$$$$$$«• «$$$$$$$« u$$$$$$$u$$$$$$$u U$*$*$*$ к$и$«$и uuu $$u$ $ $ $ $u$s uu
подробнее»

по вымогательство троян

uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$ll u$$$$$$$S$$$$$$$S$$$S$S$S$u u$$$$$$$$$$$$$$$$$$$$$$$$$u «$$$« »S$S$S$u »$$$$» u$u $$$$« $$$u u$u u$$$ $$$u u$$$u «$$$ »$$$$uu$$$ $$$uuS$S$» «$$$$$$$«• «$$$$$$$« u$$$$$$$u$$$$$$$u U$*$*$*$ к$и$«$и uuu $$u$ $ $ $ $u$s uu