Обнаружен троянец, маскирующийся под антивирусную утилиту
Специалисты компании «Доктор Веб» выявили нового троянца под названием Trojan.BPLug.1041.
Изображение с сайта drweb.ru
Он был обнаружен при переходе из результатов поиска Google на взломанную веб-страницу отечественного телеканала, которая была посвящена одному из популярных российских телесериалов. Впоследствии было также установлено, что компрометации подверглось еще несколько посещаемых ресурсов, в том числе связанных с телевизионными шоу.
Когда пользователь заходит на зараженный сайт с другого домена, а также при соблюдении ряда условий (например, использует 32-битную систему Windows или Mac OS X с архитектурой Intel и браузера, отличного от Opera), то вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников.
Встроенный в этой веб-странице специальный обработчик не позволяет закрыть вкладку, а при нажатии клавиш или щелчке мышью демонстрируется назойливое окно, которое предлагает установить некое расширение для браузера. При этом расширение выдается за утилиту, якобы созданную широко известным производителем антивирусного ПО.
В процессе установки данный плагин требует у пользователя предоставить ему ряд разрешений, а после инсталляции отображается в списке расширений Chrome под именем «Щит безопасности KIS».
Trojan.BPLug.1041 включает в себя два обфусцированных файла на языке JavaScript. Основное предназначение этого троянца - выполнение веб-инжектов (встраивание постороннего содержимого в просматриваемые веб-страницы). При этом на всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации.
За отображение рекламы отвечает отдельная функция, которая позволяет троянцу анализировать содержимое открытой веб-страницы. Если ее контекст включает порнографическое содержимое, то троян загружает рекламу соответствующей тематики из двух отдельных сетей. Кроме того, данное расширение содержит список сайтов, на которых реклама не показывается, среди них - fsb.ru, gov.ru, mos.ru, gosuslugi.ru, government.ru и некоторые другие.
Trojan.BPLug.1041 отправляет на сервер злоумышленников сведения о других расширениях Chrome, установленных на зараженном компьютере. При этом сервер может указать троянцу, какие расширения следует отключить.
В интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором, однако два из них по различным причинам нефункциональны.
Комментарии читателей
что Василия Ивановича заставить нарисовать квадратный Трехчлен. Как известно, прославленный красными бандит не токмо нарисовать оный трехчлен не мог, но даже его и вообразить.
А не пора-ли взяться за дело БСТМ МВД России и прошерстить все наши антивирусные компании? Уж по статье 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ) много чего бы нарыли. А некому...? Или товарищи полковники не могут дать такого приказа по своим Управлениям? Или могу предположить, что руководители БСТМ в доле с главами антивирусных компаний. Привет вам, "товарищи офицеры".
Не смотрите сериалы и тв-шоу. Проблем меньше будет
потом ее и обнаружить.