Открыть список
Как стать автором
Обновить

Легальный троянец уже у вас на борту

Информационная безопасность
Этот хабратопик является информацией для размышления для пользователей популярного клиента-загрузчика FlashGet. Заранее извиняюсь за отсутствие рабочих ссылок, но что-то хабр глючит.

Для поиска НЛО малвари и борьбы с ней я пользуюсь продукцией компании Symantec. И буквально вчера у меня возникла проблема с тем, что NIS стал матюкаться на FlashGet. Я немного поискал в сети и в результате резюмирую:
1. Множественные сообщения в саппорт от пользователей о том, что на их компьютерах антивирус стал обнаруживать троянские программы в каталоге FlashGet.
2. Паника на форуме программы Flashget.
3. Основными симптомами является появление в системе файлов с именами:
inapp4.exe inapp5.exe inapp6.exe
Детектируемых Антивирусом Касперского как:
Trojan-Dropper.Win32.Agent.exo Dropper.Win32.Agent.ezo Trojan-Downloader.Win32.Agent.kht 4. Никаких других троянских программ, через которые вышеперечисленные файлы могли попасть в систему, не обнаружилось.
5. Проверка выявила, что кроме троянцев свежую дату создания и модификации имеет файл FGUpdate3.ini (подчекнуты отличия от оригинального файла):
[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020

inapp4.exe=1.0.0.1031

[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%


[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%


Ссылка на файл inapp4.exe, являющийся троянцем, ведет на настоящий сайт FlashGet. Именно оттуда он загружался в виде appA.cab.
6. «Уязвимость» существует во всех версиях FlashGet 1.9.xx. Никакой информации об инциденте на сайте FlashGet не обнаружено, полное молчание со стороны разработчиков.
7. Несмотря на то, что на данный момент проблема с взломом сайта FlashGet решена, уязвимость в системе пользовательской безопасности остается. Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его работать как троянец-загрузчик.
8. Кому интересно, гугл знает где находится полный анализ ситуации специалистами Лаборатории Касперского.

P.S. ссылки что-то не вставляются как надо???
Теги:TrojanGetЛаборатория Касперскогоуязвимость
Хабы: Информационная безопасность
Всего голосов 25: ↑23 и ↓2 +21
Просмотры700

Комментарии 38

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Похожие публикации

SUSE Linux Enterprise Server 12 – Безопасность
11 мая 202130 000 ₽Сетевая Академия ЛАНИТ
SEO-специалист
26 апреля 202164 900 ₽Нетология
Факультет дизайна
26 апреля 2021236 988 ₽GeekBrains
Node.js: серверный JavaScript
26 апреля 202127 000 ₽Loftschool

Лучшие публикации за сутки