Мой Антивирус

29 августа 2016 года

Вирусные аналитики корпорации «Доктор Веб» изучали новейшего троянца – Trojan.Mutabaha.1. Он устанавливает на персональный компьютер жертвы фальшивую версию браузера гугл Chrome, которая заменяет рекламу в просматриваемых веб-страницах.

Ключевая странность троянца Trojan.Mutabaha.1 — уникальная технология обхода вмонтированного в Windows защитного механизма User Accounts Control (UAC). извещение об этой технологии обхода UAC была впервой размещена в одном из интернет-блогов 15 августа, эдак что через досель только удовлетворительно денька в вирусную лабораторию «Доктор Веб» поступил начальный прототип эксплуатирующего собственно данный метод троянца, кой эдак что приобрел наименование Trojan.Mutabaha.1. Указанная технология заключается в пользовании одной из веток системного реестра Windows для пуска вредной программы с завышенными привилегиями. Троянец содержит свойственную строку, подключающую имя проекта:

F:projectC++Projectinstaller_chromeoutReleasesetup_online_without_uac.pdb

В первую черед на атакуемом персональном компьютере запускается дроппер, кой предохраняет на диск эдак что запускает программу-установщик. в одно эдак что тоже время с тем самым на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злодеям управляющим сервером эдак что приобретает оттуда конфигурационный файл, в котором указан адресок для скачивания браузера.

Этот браузер имеет личное имя — Outfire — эдак что воображает собой особую компоновку гугл Chrome. В процессе инсталляции он регистрируется в реестре Windows, а уж уж уж тоже запускает крошку системных служб эдак что образовывает задачки в Планировщике заданий, чтоб навалить эдак что определить личные обновления. При конкретно в этом Outfire заменяет собой уже общепринятый в системе браузер гугл Chrome — трансформирует имеющиеся ярлыки (или удаляет них эдак что образовывает новые), а уж уж уж тоже копирует в последний браузер существующий профиль юзера Chrome. эдак что преступники применяют нормальные значки Chrome, возможная жертва возможно эдак что закончить делать делать увидеть подмены. в завершении Trojan.Mutabaha.1 испытывает присутствие в системе альтернативных версий браузеров, подобных личной собственной, генерируя них имена с поддержкой композиции значений из 2-ух списков-словарей. досель подобных вариаций насчитывается 56. заприметив другую версию браузера, Trojan.Mutabaha.1 ассоциирует его имя с личным (чтобы невзначай закончить делать делать отослать самого себя), а уж уж уж там при поддержке системных команд останавливает процессы этого браузера, удаляет его записи из Планировщика заданий Windows эдак что заносит соответственные конфигурации в системный реестр.

Установленный подобным методом в системе фальшивый браузер при запуске показывает стартовую страницу, поменять коию в его настройках невозможно. закончить считая того, он содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых юзером веб-страницах. кроме этого, браузер Outfire задействует по умолчанию личную службу розыска в Интернете, однако ее при желании можно поменять в настройках приложения.

Антивирус Dr.Web детектирует эдак что удаляет Trojan.Mutabaha.1, потому троянец закончить делать делать воображает опасности для наших пользователей.

Подробнее об угрозе

НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web