Обнаружен троянец, маскирующийся под антивирусную утилиту
Специалисты компании «Доктор Веб» выявили нового троянца под названием Trojan.BPLug.1041.
Изображение с сайта drweb.ru
Он был обнаружен при переходе из результатов поиска Google на взломанную веб-страницу отечественного телеканала, которая была посвящена одному из популярных российских телесериалов. Впоследствии было также установлено, что компрометации подверглось еще несколько посещаемых ресурсов, в том числе связанных с телевизионными шоу.
Когда пользователь заходит на зараженный сайт с другого домена, а также при соблюдении ряда условий (например, использует 32-битную систему Windows или Mac OS X с архитектурой Intel и браузера, отличного от Opera), то вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников.
Встроенный в этой веб-странице специальный обработчик не позволяет закрыть вкладку, а при нажатии клавиш или щелчке мышью демонстрируется назойливое окно, которое предлагает установить некое расширение для браузера. При этом расширение выдается за утилиту, якобы созданную широко известным производителем антивирусного ПО.
В процессе установки данный плагин требует у пользователя предоставить ему ряд разрешений, а после инсталляции отображается в списке расширений Chrome под именем «Щит безопасности KIS».
Trojan.BPLug.1041 включает в себя два обфусцированных файла на языке JavaScript. Основное предназначение этого троянца - выполнение веб-инжектов (встраивание постороннего содержимого в просматриваемые веб-страницы). При этом на всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации.
За отображение рекламы отвечает отдельная функция, которая позволяет троянцу анализировать содержимое открытой веб-страницы. Если ее контекст включает порнографическое содержимое, то троян загружает рекламу соответствующей тематики из двух отдельных сетей. Кроме того, данное расширение содержит список сайтов, на которых реклама не показывается, среди них - fsb.ru, gov.ru, mos.ru, gosuslugi.ru, government.ru и некоторые другие.
Trojan.BPLug.1041 отправляет на сервер злоумышленников сведения о других расширениях Chrome, установленных на зараженном компьютере. При этом сервер может указать троянцу, какие расширения следует отключить.
В интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором, однако два из них по различным причинам нефункциональны.
Стоп-кадр из видео 5-tv.ru
Комментарии читателей Оставить комментарий
что Василия Ивановича заставить нарисовать квадратный Трехчлен. Как известно, прославленный красными бандит не токмо нарисовать оный трехчлен не мог, но даже его и вообразить.
А не пора-ли взяться за дело БСТМ МВД России и прошерстить все наши антивирусные компании? Уж по статье 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ) много чего бы нарыли. А некому...? Или товарищи полковники не могут дать такого приказа по своим Управлениям? Или могу предположить, что руководители БСТМ в доле с главами антивирусных компаний. Привет вам, "товарищи офицеры".
Не смотрите сериалы и тв-шоу. Проблем меньше будет
потом ее и обнаружить.