Поиск
Дополнительное меню

Новости ИТ-бизнеса для Профессионалов

18 августа : пятница

Интервью

Курсы

USD ЦБ РФ 17/08 59.6521 -0.2745
EUR ЦБ РФ 17/08 69.9958 -0.376
EUR/USD 17/08 1.1734 -0.0009

Trojan.ChromePatch.1 умеет заражать файл ресурсов браузера Chrome

16.12.2016 17:27

Вредоносные программы, предназначенные для несанкционированной установки других приложений, весьма популярны у злоумышленников. Одним из таких троянцев-установщиков является Trojan.Ticno.1537, пишут эксперты «Доктора Веб».

Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows. Кроме того, Trojan.Ticno.1537 проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает «Проводник» и завершает свою работу.

Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip. При нажатии ссылки «Дополнительные параметры» Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере, а при нажатии кнопки Save троянец начинает загрузку и установку этих программ.

Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы - браузер Amigo и программа HomeSearch@Mail.ru разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400.

Trojan.ChromePatch.1 представляет собой рекламного троянца, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет. Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome.

Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome - resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 года, чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера. При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 - показ в окне браузера Chrome нежелательной рекламы.

Источник: @Astera

Смотри также: Безопасность

16 декабря