Как стать автором
Обновить

Легальный троянец уже у вас на борту

Время на прочтение 2 мин
Количество просмотров 922
Этот хабратопик является информацией для размышления для пользователей популярного клиента-загрузчика FlashGet. Заранее извиняюсь за отсутствие рабочих ссылок, но что-то хабр глючит.

Для поиска НЛО малвари и борьбы с ней я пользуюсь продукцией компании Symantec. И буквально вчера у меня возникла проблема с тем, что NIS стал матюкаться на FlashGet. Я немного поискал в сети и в результате резюмирую:
1. Множественные сообщения в саппорт от пользователей о том, что на их компьютерах антивирус стал обнаруживать троянские программы в каталоге FlashGet.
2. Паника на форуме программы Flashget.
3. Основными симптомами является появление в системе файлов с именами:
inapp4.exe inapp5.exe inapp6.exe
Детектируемых Антивирусом Касперского как:
Trojan-Dropper.Win32.Agent.exo Dropper.Win32.Agent.ezo Trojan-Downloader.Win32.Agent.kht 4. Никаких других троянских программ, через которые вышеперечисленные файлы могли попасть в систему, не обнаружилось.
5. Проверка выявила, что кроме троянцев свежую дату создания и модификации имеет файл FGUpdate3.ini (подчекнуты отличия от оригинального файла):
[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020

inapp4.exe=1.0.0.1031

[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%


[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%


Ссылка на файл inapp4.exe, являющийся троянцем, ведет на настоящий сайт FlashGet. Именно оттуда он загружался в виде appA.cab.
6. «Уязвимость» существует во всех версиях FlashGet 1.9.xx. Никакой информации об инциденте на сайте FlashGet не обнаружено, полное молчание со стороны разработчиков.
7. Несмотря на то, что на данный момент проблема с взломом сайта FlashGet решена, уязвимость в системе пользовательской безопасности остается. Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его работать как троянец-загрузчик.
8. Кому интересно, гугл знает где находится полный анализ ситуации специалистами Лаборатории Касперского.

P.S. ссылки что-то не вставляются как надо???
Теги:
Хабы:
+21
Комментарии 38
Комментарии Комментарии 38

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн