Троян использует уязвимость UAC для установки фальшивого браузера Chrome

Новый троян под названием Trojan.Mutabaha.1 использует недавно обнаруженную уязвимость обхождения контроля учётных записей (UAC) системы Windows для установки модифицированной версии браузера Outfire, который заменяет Chrome. Outfire работает на движке Chromium и выглядит весьма похожим на Chrome, с минимальными изменениями в процессе установки. Это позволяет использовать его для сомнительных целей, заставляя пользователей думать, что они по-прежнему работают с Chrome.

О способах распространения трояна пока неизвестно, но известно о методах инфицирования, а русский язык на скриншотах наводит на определённые мысли о стране его происхождения. Компания Доктор Веб пишет, что используется метод обхода контроля учётных записей для запуска ряда файлов и выполнения команд незаметно для владельца компьютера. Этот метод был озвучен двумя исследователями 15 августа. Используется встроенная утилита системы Windows под названием Windows Event Viewer. Троян Mutabaha появился через три дня после публикации этого метода. При запуске с повышенными привилегиями используется ключ реестра, скачивается файл формата BAT и загрузчик.

Загрузчик скачивает браузер Outfire и автоматически устанавливает его на компьютер. После этого файл BAT удаляет загрузчик. Outfire прописывается в реестре Windows и загружается вместе с системой, удаляет ярлыки Google и импортирует из него настройки.

Напоследок Outfire при помощи списка из 56 названий закрывает в системе процессы известных браузеров. Outfire обладает постоянной домашней страницей, внедряет рекламу на все посещаемые пользователями сайты и использует собственный поисковый движок вместо Google.