Вирус, притворившись обновлением Firefox, напал на миллионы ПК

Безопасность Интернет-ПО
мобильная версия
, Текст: Сергей Попсулин

Миллионы пользователей Firefox могут стать жертвами нового вредоносного программного обеспечения, распространяемого под видом обновления для браузера.


Вредоносный файл под видом обновления

Исследователи из компании Barkly Protects, выпускающей решения для мониторинга вредоносной активности на устройствах, сообщили об обнаружении вредоносного программного обеспечения, распространяемого под видом обновления для одного из самых популярных браузеров Firefox. Согласно исследованию Net Applications, Firefox занимает 8% рынка браузеров.

Вредоносное программное обеспечение устанавливается при посещении вредоносного веб-сайта. Как выяснилось, им является новая модификация Kovter — ранее известного приложения, с помощью которого злоумышленники устанавливают трояны и программы-вымогатели и накручивают клики на объявления.

Внедрение в систему

После загрузки и запуска Kovter помещает в различные разделы реестра Windows скрипт, который запускает PowerShell.exe. Скрипт помещается в закодированном виде. После того как аналитики раскодировали его, они обнаружили в нем другую закодированную программу Powershell, предназначенную для внедрения шелл-кода в систему (шелл-код - это программа обладающая низкоуровневым доступом к операционной системе).

Пользователи Firefox атакованы новым вирусом

Легитимный сертификат

Ситуация усугублена тем, что на этот раз Kovter подписан легитимным сертификатом разработчика антивирусов Comodo. Проблема в том, что большинство антивирусов пропускают приложения с легитимными сертификатами, считая их безопасными.

Рекомендации пользователям

Пользователям рекомендуется избегать приема предложений об обновлении браузеров вне стандартного процесса и делать это, при необходимости, через пункт меню «О Firefox». В случае если будет доступно обновление, информация о нем будет отображена в окне этого пункта.