Новый троян способен обходить защиту UAC и устанавливать фальшивую версию Google Chrome
Метод обхода UAC заключается в использовании одной из ветвей системного реестра для запуска с повышенными правами.
Специалисты компании «Доктор Веб» обнаружили новый вид вредоносного ПО, способного обходить защитный механизм Контроля учетных записей (User Accounts Control, UAC) в Windows и инсталлировать на компьютер жертвы фальшивую версию браузера Google Chrome, подменяющую рекламу в просматриваемых пользователем web-страницах. Метод обхода, применяемый Trojan.Mutabaha.1 (по классификации «Доктор Веб»), заключается в использовании одной из ветвей системного реестра для запуска с повышенными правами.
На первом этапе на компьютере запускается дроппер, который сохраняет на диск и запускает установщик. Одновременно на инфицированном устройстве запускается .bat-файл, предназначенный для удаления дроппера. Установщик связывается с C&C-сервером злоумышленников и получает файл с адресом для загрузки интернет-обозревателя Outfire (специальная сборка Google Chrome).
В процессе установки браузер регистрируется в реестре Windows, запускает ряд системных служб и создает задачи в Планировщике заданий (для загрузки и установки собственных обновлений). Outfire подменяет уже установленный браузер Google Chrome, изменяет ярлыки и копирует существующий профиль пользователя Chrome. Поскольку преступники используют стандартные иконки Chrome, жертва не замечает ничего подозрительного.
Далее троян проверяет наличие на системе других браузеров и при нахождении останавливает процессы интернет-обозревателя, удаляет его записи в Планировщике Windows и вносит соответствующие изменения в системный реестр.
Устали от того, что Интернет знает о вас все?