Le 29 août 2016

Les analystes de Doctor Web ont examiné un nouveau malware, Trojan.Mutabaha.1 . Il installe sur l’ordinateur une fausse version du navigateur Google Chrome qui remplace la publicité dans les pages Web consultées.

Une des particularités clés du Trojan.Mutabaha.1 est la technologie originale qu’il utilise pour contourner le mécanisme de protection intégré au Contrôle de compte d’utilisateur (UAC) Windows. Pour la première fois, des informations sur cette technologie de contournement de l’UAC ont été publiées dans un blog sur Internet le 15 août, et trois jours plus tard, le Laboratoire de Doctor Web a reçu le premier échantillon du Trojan.Mutabaha.1. Cette technologie consiste en utilisation de l’une des branches du Registre Windows pour lancer un programme malveillant avec des privilèges élevés. Le Trojan contient une chaine caractéristique, qui comprend le nom du projet:

En premier lieu, un injecteur démarre et enregistre sur le disque puis exécute un programme installateur. Dans le même temps, un fichier .bat conçu pour supprimer l'injecteur s’exécute également. À son tour, le programme d’installation contacte le serveur pirate depuis lequel il reçoit un fichier de configuration dans lequel est spécifiée une adresse de téléchargement du navigateur.

Ce navigateur a son propre nom — Outfire — et est un build spécialisé de Google Chrome. Lors de l’installation, il s'enregistre dans le registre de Windows et lance plusieurs services système, il crée également des tâches dans le Planificateur de tâches afin de télécharger et installer ses propres mises à jour. Outfire s'installe à la place de Google Chrome déjà présent. Il modifie les raccourcis existants (ou les supprime et en crée de nouveaux), il copie vers le nouveau navigateur le profil utilisateur Chrome existant. Les attaquants utilisent des icônes Chrome standards afin d’empêcher l’utilisateur de s'apercevoir de la substitution. A la fin, Trojan.Mutabaha.1 vérifie dans le système la présence d'autres versions de navigateurs semblables à la sienne, en générant leurs noms avec une combinaison de valeurs issues de deux listes de dictionnaires. Le total de variantes s’élève à 56. Après avoir détecté une autre version du navigateur, Trojan.Mutabaha.1 compare son nom au sien (pour ne pas se supprimer accidentellement) puis stoppe les processus du navigateur en utilisant les commandes système, supprime ses entrées dans le Planificateur de tâches Windows et apporte des modifications à la base de registre.

Installé de cette façon dans le système, le faux navigateur affiche au démarrage une page d'accueil qui ne peut pas être modifiée dans les paramètres. En outre, il contient un composant qui ne peut pas être désactivé et qui remplace les publicités dans les pages Web consultées par l'utilisateur. Le navigateur Outfire utilise par défaut son propre service de recherche sur Internet, mais ce dernier peut être modifié dans les paramètres de l'application.

Dr.Web antivirus détecte et supprime le Trojan.Mutabaha.1 , c'est pourquoi ce Trojan ne présente aucun danger pour nos utilisateurs.

Plus d'infos sur la menace