Author

Topic: Маскирующийся под антивирус троян атаку&#1077 (Read 827 times)

sr. member
Activity: 714
Merit: 250
Quote
Основная задача трояна заключается в выполнении web-инъекций, то есть внедрении стороннего содержимого в просматриваемые пользователем web-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию рекламы с любых доменов, кроме тех, список которых заложен в ее конфигурации.
А как он определяет стороннюю рекламу? Ну если она выполнена в примитивном формате на картинке?
JSS
sr. member
Activity: 252
Merit: 250
Вот всем смешно, а я столкнулся с этой гадостью на компьютере у одного из сотрудников. Помогла полная деинсталяция гугл хрома и установка чистого.
legendary
Activity: 1470
Merit: 1002
Автор либо очень ненавидит российские сериалы, либо работает на государство
ну хоть в отстутствии вкуса его не упрекнуть. в обоих случаях.
sr. member
Activity: 770
Merit: 259
Quote
За отображение рекламы отвечает отдельная функция, с помощью которой вредонос анализирует содержимое открытой пользователем страницы. Если ее контекст включает порнографический контент, из двух отдельных сетей загружается реклама соответствующей тематики.

Интеллектуальный троян  Cheesy
Исходя из потребностей ЦА включает рекламу. Интересно, он на любую тематику ориентирован?
hero member
Activity: 826
Merit: 502
Очень странный троян. Наталкивает на определенные мысли о авторе и его музе или музах.

а что телеканал не смотрит за своими страницами?
Как тут усмотришь, если рипы делают, все кому не лень..
hero member
Activity: 868
Merit: 507
Очень странный троян. Наталкивает на определенные мысли о авторе и его музе или музах.

а что телеканал не смотрит за своими страницами?
hero member
Activity: 574
Merit: 502
Все достаточно обыденно! Вот если бы смысл трояна заключался в том что ты заходишь на сайт с порнографическим контентом а он тебе открывает рекламу порталов: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru. Вот это было бы смешно и необычно. А так, не интересно ......
hero member
Activity: 1022
Merit: 543
Quote
Встроенный в код web-страницы специальный обработчик не позволяет закрыть данную вкладку. При нажатии клавиш или щелчке мышью на экране демонстрируется окно, предлагающее установку некоего расширение для браузера.
Знакомая ситуация. Не только этот троян использует эту фишку.
hero member
Activity: 826
Merit: 502
Автор либо очень ненавидит российские сериалы, либо работает на государство
hero member
Activity: 938
Merit: 502
Очень странный троян. Наталкивает на определенные мысли о авторе и его музе или музах.
legendary
Activity: 1064
Merit: 1000
Маскирующийся под антивирус троян атакует поклонников ТВ-сериалов

Специалисты компании «Доктор Веб» обнаружили вредоносное ПО, атакующее поклонников российских сериалов. Что интересно, троян замаскирован под антивирусную утилиту от известного разработчика.

Вредонос, получивший название Trojan.BPLug.1041 (по классификации «Доктор Веб»), был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками web-страницу российского телеканала, посвященную одному из популярных отечественных телесериалов. Также выяснилось, что компрометации подверглось еще несколько посещаемых интернет-ресурсов, в том числе связанных с ТВ-шоу.

В случае, если пользователь переходит на инфицированный сайт с другого домена, вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников. Встроенный в код web-страницы специальный обработчик не позволяет закрыть данную вкладку. При нажатии клавиш или щелчке мышью на экране демонстрируется окно, предлагающее установку некоего расширение для браузера. При этом злоумышленники выдают данное расширение за решение, якобы разработанное известным производителем антивирусного ПО.

В процессе установки плагин требует у пользователя предоставить ему ряд специальных разрешений и после инсталляции отображается в списке установленных расширений Chrome под именем «Щит безопасности KIS».

Плагин содержит два обфусцированных JavaScript-файла. Основная задача трояна заключается в выполнении web-инъекций, то есть внедрении стороннего содержимого в просматриваемые пользователем web-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию рекламы с любых доменов, кроме тех, список которых заложен в ее конфигурации.

За отображение рекламы отвечает отдельная функция, с помощью которой вредонос анализирует содержимое открытой пользователем страницы. Если ее контекст включает порнографический контент, из двух отдельных сетей загружается реклама соответствующей тематики. Кроме того, данное расширение содержит список ресурсов, на которых троян не показывает рекламу. Среди них порталы: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и ряд других.

Вредоносное ПО отправляет на сервер злоумышленников сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать трояну, какие расширения следует деактивировать.

Как отметили эксперты, в интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором. Два из них по различным причинам нефункциональны. В настоящее время общее число загрузок всех трех плагинов превышает 30 тысяч.

http://www.securitylab.ru/news/475748.php
Jump to: