Trojan.Mutabaha.1 installa un falso Chrome
Installa sul computer della vittima una falsa versione del browser Google Chrome che sostituisce furtivamente le pubblicità mostrate su pagine web.
Una caratteristica fondamentale di Trojan.Mutabaha.1 è che impiega una tecnologia originale studiata per raggirare il meccanismo di protezione incorporata di Windows User Accounts Control (UAC). Le informazioni su tale tecnologia sono state pubblicate inizialmente in un blog di Internet il 15 agosto, e soltanto tre giorni dopo al laboratorio di Doctor Web è arrivato il primo esemplare di un trojan che impiega proprio questo metodo, che è stato denominato Trojan.Mutabaha.1. La tecnologia sopracitata consiste nell’utilizzo di uno dei rami del registro di sistema di Windows per avviare un programma malevolo con i privilegi elevati. Il trojan contiene una stringa caratteristica che include il nome del progetto:
F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb
All’inizio sul computer sotto attacco viene avviato un dropper che salva sul disco e avvia un programma di installazione. Allo stesso tempo sulla macchina infetta viene avviato un file .bat progettato per la rimozione del dropper. A sua volta il programma di installazione si connette con il server di gestione dei malintenzionati e ottiene un file di configurazione in cui è specificato un indirizzo da cui va scaricato il browser.
Questo browser ha un proprio nome — Outfire ed è un build specifico di Google Chrome. Nel corso dell’installazione si trascrive nel registro di Windows e inoltre avvia alcuni servizi di sistema e crea task nell’Utilità di pianificazione per scaricare e installare i suoi aggiornamenti. Outfire sostituisce con sé il browser Google Chrome già installato nel sistema — modifica le scorciatoie esistenti (o le rimuove e ne crea nuove) e anche copia nel nuovo browser il profilo esistente dell’utente di Chrome. In quanto i malfattori utilizzano le icone di Chrome standard, la potenziale vittima potrebbe anche non notare la sostituzione. Infine Trojan.Mutabaha.1 verifica la presenza nel sistema di altre versioni del browser, simili alla propria, generandone i nomi tramite le combinazioni dei valori tratti da due elenchi-vocabolari. Ci sono in totale 56 varianti. Se rileva un’altra versione del browser, Trojan.Mutabaha.1 confronta il suo nome con il proprio (per non rimuovere accidentalmente sé stesso) e quindi tramite i comandi di sistema termina i processi di questo browser, rimuove i suoi record dall’Utilità di pianificazione di Windows e apporta le relative modifiche al registro di sistema.
Il falso browser, installato in questo modo nel sistema, ad avvio mostra una pagina iniziale che non può essere modificata nelle sue impostazioni. Inoltre, contiene un’estensione, che non può essere disattivata, che sostituisce annunci visualizzati dall’utente su pagine web con pubblicità indesiderate. Inoltre, il browser Outfire utilizza di default un proprio servizio di ricerca in Internet, ma questa opzione può essere modificata nelle impostazioni del programma.