Bitcoin Forum
November 19, 2024, 02:19:29 PM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Маскирующийся под антивирус троян атакуе  (Read 825 times)
web.master (OP)
Legendary
*
Offline Offline

Activity: 1064
Merit: 1000


View Profile
October 16, 2015, 03:42:54 PM
 #1

Маскирующийся под антивирус троян атакует поклонников ТВ-сериалов

Специалисты компании «Доктор Веб» обнаружили вредоносное ПО, атакующее поклонников российских сериалов. Что интересно, троян замаскирован под антивирусную утилиту от известного разработчика.

Вредонос, получивший название Trojan.BPLug.1041 (по классификации «Доктор Веб»), был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками web-страницу российского телеканала, посвященную одному из популярных отечественных телесериалов. Также выяснилось, что компрометации подверглось еще несколько посещаемых интернет-ресурсов, в том числе связанных с ТВ-шоу.

В случае, если пользователь переходит на инфицированный сайт с другого домена, вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников. Встроенный в код web-страницы специальный обработчик не позволяет закрыть данную вкладку. При нажатии клавиш или щелчке мышью на экране демонстрируется окно, предлагающее установку некоего расширение для браузера. При этом злоумышленники выдают данное расширение за решение, якобы разработанное известным производителем антивирусного ПО.

В процессе установки плагин требует у пользователя предоставить ему ряд специальных разрешений и после инсталляции отображается в списке установленных расширений Chrome под именем «Щит безопасности KIS».

Плагин содержит два обфусцированных JavaScript-файла. Основная задача трояна заключается в выполнении web-инъекций, то есть внедрении стороннего содержимого в просматриваемые пользователем web-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию рекламы с любых доменов, кроме тех, список которых заложен в ее конфигурации.

За отображение рекламы отвечает отдельная функция, с помощью которой вредонос анализирует содержимое открытой пользователем страницы. Если ее контекст включает порнографический контент, из двух отдельных сетей загружается реклама соответствующей тематики. Кроме того, данное расширение содержит список ресурсов, на которых троян не показывает рекламу. Среди них порталы: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и ряд других.

Вредоносное ПО отправляет на сервер злоумышленников сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать трояну, какие расширения следует деактивировать.

Как отметили эксперты, в интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором. Два из них по различным причинам нефункциональны. В настоящее время общее число загрузок всех трех плагинов превышает 30 тысяч.

http://www.securitylab.ru/news/475748.php
Monia
Hero Member
*****
Offline Offline

Activity: 938
Merit: 502


View Profile
October 16, 2015, 04:36:41 PM
 #2

Очень странный троян. Наталкивает на определенные мысли о авторе и его музе или музах.
Reiva
Hero Member
*****
Offline Offline

Activity: 826
Merit: 502



View Profile
October 17, 2015, 01:18:32 PM
 #3

Автор либо очень ненавидит российские сериалы, либо работает на государство

Want to earn $$$ just for searching stuff on google? / Хотите зарабатывать $$$ просто ищя информацию в гугле?
Follow this link -> https://presearch.org
rikko72
Hero Member
*****
Offline Offline

Activity: 1022
Merit: 543



View Profile
October 18, 2015, 07:19:10 AM
 #4

Quote
Встроенный в код web-страницы специальный обработчик не позволяет закрыть данную вкладку. При нажатии клавиш или щелчке мышью на экране демонстрируется окно, предлагающее установку некоего расширение для браузера.
Знакомая ситуация. Не только этот троян использует эту фишку.
iCan
Hero Member
*****
Offline Offline

Activity: 574
Merit: 502



View Profile
October 18, 2015, 07:26:02 AM
 #5

Все достаточно обыденно! Вот если бы смысл трояна заключался в том что ты заходишь на сайт с порнографическим контентом а он тебе открывает рекламу порталов: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru. Вот это было бы смешно и необычно. А так, не интересно ......

bogdan2323
Hero Member
*****
Offline Offline

Activity: 868
Merit: 507


View Profile
October 18, 2015, 07:54:19 AM
 #6

Очень странный троян. Наталкивает на определенные мысли о авторе и его музе или музах.

а что телеканал не смотрит за своими страницами?
Reiva
Hero Member
*****
Offline Offline

Activity: 826
Merit: 502



View Profile
October 18, 2015, 08:05:14 AM
 #7

Очень странный троян. Наталкивает на определенные мысли о авторе и его музе или музах.

а что телеканал не смотрит за своими страницами?
Как тут усмотришь, если рипы делают, все кому не лень..

Want to earn $$$ just for searching stuff on google? / Хотите зарабатывать $$$ просто ищя информацию в гугле?
Follow this link -> https://presearch.org
peretss
Sr. Member
****
Offline Offline

Activity: 770
Merit: 259


View Profile
October 18, 2015, 03:15:35 PM
 #8

Quote
За отображение рекламы отвечает отдельная функция, с помощью которой вредонос анализирует содержимое открытой пользователем страницы. Если ее контекст включает порнографический контент, из двух отдельных сетей загружается реклама соответствующей тематики.

Интеллектуальный троян  Cheesy
Исходя из потребностей ЦА включает рекламу. Интересно, он на любую тематику ориентирован?
bontyw1276
Legendary
*
Offline Offline

Activity: 1470
Merit: 1002


View Profile
October 18, 2015, 03:22:59 PM
 #9

Автор либо очень ненавидит российские сериалы, либо работает на государство
ну хоть в отстутствии вкуса его не упрекнуть. в обоих случаях.
JSS
Sr. Member
****
Offline Offline

Activity: 252
Merit: 250



View Profile
October 19, 2015, 12:52:50 PM
 #10

Вот всем смешно, а я столкнулся с этой гадостью на компьютере у одного из сотрудников. Помогла полная деинсталяция гугл хрома и установка чистого.
pastan
Sr. Member
****
Offline Offline

Activity: 714
Merit: 250


View Profile WWW
October 19, 2015, 05:10:18 PM
 #11

Quote
Основная задача трояна заключается в выполнении web-инъекций, то есть внедрении стороннего содержимого в просматриваемые пользователем web-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию рекламы с любых доменов, кроме тех, список которых заложен в ее конфигурации.
А как он определяет стороннюю рекламу? Ну если она выполнена в примитивном формате на картинке?
Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!