29 de agosto de 2016

Los analistas de virus de la empresa Doctor Web investigaron un nuevo troyano–Trojan.Mutabaha.1. Instala en el equipo de la víctima una versión falsificada del navegador Google Chrome que suplanta la publicidad en las páginas web consultadas.

La peculiaridad más importante del troyano Trojan.Mutabaha.1 es la tecnología original para esquivar el mecanismo de protección User Accounts Control (UAC) incrustado en Windows. La información sobre esta tecnología para esquivar UAC por primera vez fue publicada en un blog de Internet el 15 de agosto, y solo tres días más tarde al laboratorio de virus Doctor Web llegó la primera muestra del troyano que usaba este modo, llamado Trojan.Mutabaha.1. La tecnología indicada consiste en usar alguna rama del registro del sistema Windows para iniciar el programa nocivo con privilegios avanzados. El troyano contiene una línea característica que incluye el nombre del proyecto:

Primero, en el equipo atacado se inicia un dropper que guarda en la unidad e inicia el programa instalador. Al mismo tiempo, en el equipo atacado se inicia el archivo.bat destinado para eliminar el dropper. A su vez, el programa instalador se conecta al servidor de control de los malintencionados y recibe un archivo de configuración que tiene indicada la dirección para descargar el navegador.

Este navegador tiene su propio nombre— Outfire — y es una compilación especial de Google Chrome. Durante la instalación, se registra en el registro de Windows e inicia varios servicios de sistema, crea tareas en el Programador de tareas para descargar e instalar sus propias actualizaciones. Así mismo, Outfire se usa para suplantar por sí mismo el navegador Google Chrome ya instalado en el sistema— modifica los accesos directos (o los elimina para crear los nuevos), y copia al nuevo navegador el perfil existente del usuario de Chrome. Como los malintencionados usan los iconos estándar de Chrome, la víctima potencial puede no notar la suplantación. Por último, Trojan.Mutabaha.1 comprueba si en el sistema hay otras versiones de navegadores similares a su propia versión – genera sus nombres usando la combinación de valores de dos listados-diccionarios. En total, hay 56 opciones de este tipo. Al detectar otra versión del navegador, Trojan.Mutabaha.1 compara su nombre con su propio nombre (para no borrar a sí mismo por error), y luego, usando los comandos de sistema, detiene los procesos de este navegador, elimina sus entradas del Programador de tareas Windows y realiza los cambios correspondientes en el registro del sistema.

Instalado de esta forma en el sistema, el navegador falsificado, al iniciar, visualiza una página de inicio que no puede ser cambiada en su configuración. Además, contiene un complemento que no puede ser desactivado y suplanta la publicidad en las páginas web visualizadas por el usuario. Además, el navegador Outfire de manera predeterminada usa su propio servicio de búsqueda en Internet que en caso necesario puede ser cambiado en la configuración de la aplicación.

El Antivirus Dr.Web detecta y elimina Trojan.Mutabaha.1, por lo tanto, el troyano no supone amenaza para nuestros usuarios.

Más información sobre la amenaza