Topic: Маскирующийся под антивирус троян атаку&#1077 (Read 804 times)

А как он определяет стороннюю рекламу? Ну если она выполнена в примитивном формате на картинке?

Вот всем смешно, а я столкнулся с этой гадостью на компьютере у одного из сотрудников. Помогла полная деинсталяция гугл хрома и установка чистого.

ну хоть в отстутствии вкуса его не упрекнуть. в обоих случаях.

Интеллектуальный троян 
Исходя из потребностей ЦА включает рекламу. Интересно, он на любую тематику ориентирован?

Как тут усмотришь, если рипы делают, все кому не лень..

а что телеканал не смотрит за своими страницами?

Все достаточно обыденно! Вот если бы смысл трояна заключался в том что ты заходишь на сайт с порнографическим контентом а он тебе открывает рекламу порталов: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru. Вот это было бы смешно и необычно. А так, не интересно ......

Знакомая ситуация. Не только этот троян использует эту фишку.

Автор либо очень ненавидит российские сериалы, либо работает на государство

Очень странный троян. Наталкивает на определенные мысли о авторе и его музе или музах.

Маскирующийся под антивирус троян атакует поклонников ТВ-сериалов

Специалисты компании «Доктор Веб» обнаружили вредоносное ПО, атакующее поклонников российских сериалов. Что интересно, троян замаскирован под антивирусную утилиту от известного разработчика.

Вредонос, получивший название Trojan.BPLug.1041 (по классификации «Доктор Веб»), был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками web-страницу российского телеканала, посвященную одному из популярных отечественных телесериалов. Также выяснилось, что компрометации подверглось еще несколько посещаемых интернет-ресурсов, в том числе связанных с ТВ-шоу.

В случае, если пользователь переходит на инфицированный сайт с другого домена, вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников. Встроенный в код web-страницы специальный обработчик не позволяет закрыть данную вкладку. При нажатии клавиш или щелчке мышью на экране демонстрируется окно, предлагающее установку некоего расширение для браузера. При этом злоумышленники выдают данное расширение за решение, якобы разработанное известным производителем антивирусного ПО.

В процессе установки плагин требует у пользователя предоставить ему ряд специальных разрешений и после инсталляции отображается в списке установленных расширений Chrome под именем «Щит безопасности KIS».

Плагин содержит два обфусцированных JavaScript-файла. Основная задача трояна заключается в выполнении web-инъекций, то есть внедрении стороннего содержимого в просматриваемые пользователем web-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию рекламы с любых доменов, кроме тех, список которых заложен в ее конфигурации.

За отображение рекламы отвечает отдельная функция, с помощью которой вредонос анализирует содержимое открытой пользователем страницы. Если ее контекст включает порнографический контент, из двух отдельных сетей загружается реклама соответствующей тематики. Кроме того, данное расширение содержит список ресурсов, на которых троян не показывает рекламу. Среди них порталы: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и ряд других.

Вредоносное ПО отправляет на сервер злоумышленников сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать трояну, какие расширения следует деактивировать.

Как отметили эксперты, в интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором. Два из них по различным причинам нефункциональны. В настоящее время общее число загрузок всех трех плагинов превышает 30 тысяч.

http://www.securitylab.ru/news/475748.php