Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web alerte : Trojan.Mutabaha.1 installe une fausse version de Chrome

Le 29 août 2016

Les analystes de Doctor Web ont examiné un nouveau malware, Trojan.Mutabaha.1 . Il installe sur l’ordinateur une fausse version du navigateur Google Chrome qui remplace la publicité dans les pages Web consultées.

Une des particularités clés du Trojan.Mutabaha.1 est la technologie originale qu’il utilise pour contourner le mécanisme de protection intégré au Contrôle de compte d’utilisateur (UAC) Windows. Pour la première fois, des informations sur cette technologie de contournement de l’UAC ont été publiées dans un blog sur Internet le 15 août, et trois jours plus tard, le Laboratoire de Doctor Web a reçu le premier échantillon du Trojan.Mutabaha.1. Cette technologie consiste en utilisation de l’une des branches du Registre Windows pour lancer un programme malveillant avec des privilèges élevés. Le Trojan contient une chaine caractéristique, qui comprend le nom du projet:

F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb

En premier lieu, un injecteur démarre et enregistre sur le disque puis exécute un programme installateur. Dans le même temps, un fichier .bat conçu pour supprimer l'injecteur s’exécute également. À son tour, le programme d’installation contacte le serveur pirate depuis lequel il reçoit un fichier de configuration dans lequel est spécifiée une adresse de téléchargement du navigateur.

Ce navigateur a son propre nom — Outfire — et est un build spécialisé de Google Chrome. Lors de l’installation, il s'enregistre dans le registre de Windows et lance plusieurs services système, il crée également des tâches dans le Planificateur de tâches afin de télécharger et installer ses propres mises à jour. Outfire s'installe à la place de Google Chrome déjà présent. Il modifie les raccourcis existants (ou les supprime et en crée de nouveaux), il copie vers le nouveau navigateur le profil utilisateur Chrome existant. Les attaquants utilisent des icônes Chrome standards afin d’empêcher l’utilisateur de s'apercevoir de la substitution. A la fin, Trojan.Mutabaha.1 vérifie dans le système la présence d'autres versions de navigateurs semblables à la sienne, en générant leurs noms avec une combinaison de valeurs issues de deux listes de dictionnaires. Le total de variantes s’élève à 56. Après avoir détecté une autre version du navigateur, Trojan.Mutabaha.1 compare son nom au sien (pour ne pas se supprimer accidentellement) puis stoppe les processus du navigateur en utilisant les commandes système, supprime ses entrées dans le Planificateur de tâches Windows et apporte des modifications à la base de registre.

Installé de cette façon dans le système, le faux navigateur affiche au démarrage une page d'accueil qui ne peut pas être modifiée dans les paramètres. En outre, il contient un composant qui ne peut pas être désactivé et qui remplace les publicités dans les pages Web consultées par l'utilisateur. Le navigateur Outfire utilise par défaut son propre service de recherche sur Internet, mais ce dernier peut être modifié dans les paramètres de l'application.

Dr.Web antivirus détecte et supprime le Trojan.Mutabaha.1 , c'est pourquoi ce Trojan ne présente aucun danger pour nos utilisateurs.

Plus d'infos sur la menace

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg