ΑρχικήsecurityExtenbro Trojan: Ακυρώνει όλα τα antivirus προϊόντα και καταστρέφει το σύστημα!

Extenbro Trojan: Ακυρώνει όλα τα antivirus προϊόντα και καταστρέφει το σύστημα!

Οι ειδικοί του Malwarebytes Labs ανακάλυψαν το Extenbro Trojan, το οποίο όχι μόνο αντικαθιστά το DNS για την προβολή διαφημίσεων αλλά επίσης δεν επιτρέπει στον χρήστη να χρησιμοποιήσει anti-virus και άλλα προϊόντα ασφαλείας.

Ο χρήστης δεν μπορεί να κατεβάσει και να εγκαταστήσει οποιοδήποτε πρόγραμμα προστασίας και να απαλλαγεί από κακόβουλο λογισμικό. Οι ερευνητές προειδοποιούν ότι με αυτόν τον τρόπο το κακόβουλο λογισμικό εκθέτει τις μολυσμένες συσκευές σε κινδύνους που εγκυμονούν και από άλλες επιθέσεις, χωρίς να υπάρχει καμία σωτηρία για αυτές.

Παρόμοια κακόβουλη συμπεριφορά έχει ήδη παρατηρηθεί από το malware Vonteera, το οποίο χρησιμοποιούσε πιστοποιητικά συστήματος για να απενεργοποιήσει τις λύσεις ασφαλείας που διέθεταν τα συστήματα.

Extenbro Trojan

Το Extenbro διανέμεται κυρίως μέσω διαφημίσεων.

Μετά την εγκατάσταση του λογισμικού, ο χρήστης θα διαπιστώσει ότι εμφανίζονται ανεπιθύμητες διαφημίσεις που προέρχονται από sites που δεν έχει επισκεφθεί ποτέ. Μπορεί να εμφανιστεί μια νέα σελίδα εκκίνησης στο πρόγραμμα περιήγησης. Τέλος, οι ειδικοί διαπίστωσαν ότι το Extenbro διανέμεται ως μέρος κακόβουλου λογισμικού από την οικογένεια πακέτων Trojan.IstartSurf.

Extenbro Trojan

Για να εμφανιστεί η ανεπιθύμητη διαφήμιση, το Extenbro αλλάζει τις ρυθμίσεις DNS στο σύστημα του θύματος. Επιπλέον, οι ερευνητές σημειώνουν ότι

«Εάν ένας χρήστης ανοίξει τις ρυθμίσεις και μεταβεί στην καρτέλα Advanced DNS, θα διαπιστώσει ότι τέσσερις νέοι διακομιστές DNS εμφανίστηκαν στο σύστημα ταυτόχρονα και όχι δύο, όπως συνήθως συμβαίνει. Δυστυχώς, δεν διαθέτουν όλοι οι χρήστες τις γνώσεις για να μεταβούν στις προηγμένες ρυθμίσεις και να δώσουν προσοχή στο γεγονός ότι δεν υπάρχουν δύο, αλλά τέσσερις διακομιστές ταυτόχρονα».

Το χειρότερο είναι ότι εάν το θύμα προσπαθήσει να απαλλαγεί από τους “ψεύτικους” διακομιστές DNS διαγράφοντας τους, το κακόβουλο πρόγραμμα θα τους επαναπροσθέσει στις ρυθμίσεις μετά από κάθε επανεκκίνηση του συστήματος.

Επιπλέον, το κακόβουλο λογισμικό απενεργοποιεί πλήρως το σύστημα IPv6, έτσι ώστε το θύμα να μην μπορεί να παρακάμψει τους κακόβουλους διακομιστές DNS και να προστατεύσει τον υπολογιστή του. Προστίθεται και ένα νέο  root certificate στα Windows root certificates κάνοντας αλλαγές στο αρχείο user.js του Firefox.

Αυτό αναγκάζει τον Firefox να χρησιμοποιήσει το Windows certificate store, όπου προστέθηκε το root certificate του εισβολέα.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS