Οι ειδικοί του Malwarebytes Labs ανακάλυψαν το Extenbro Trojan, το οποίο όχι μόνο replaces the DNS για την προβολή διαφημίσεων αλλά επίσης δεν επιτρέπει στον χρήστη να Use anti-virus και άλλα προϊόντα ασφαλείας.
Ο χρήστης δεν μπορεί να κατεβάσει και να εγκαταστήσει οποιοδήποτε πρόγραμμα προστασίας και να απαλλαγεί από malware. Οι ερευνητές προειδοποιούν ότι με αυτόν τον τρόπο το κακόβουλο λογισμικό εκθέτει τις μολυσμένες συσκευές σε κινδύνους που εγκυμονούν και από άλλες επιθέσεις, χωρίς να υπάρχει καμία σωτηρία για αυτές.
Παρόμοια κακόβουλη συμπεριφορά έχει ήδη παρατηρηθεί από το malware Vonteera, το οποίο χρησιμοποιούσε πιστοποιητικά συστήματος για να απενεργοποιήσει τις λύσεις ασφαλείας που διέθεταν τα συστήματα.
Το Extenbro διανέμεται κυρίως μέσω Advertisements.
Μετά την εγκατάσταση του λογισμικού, ο χρήστης θα διαπιστώσει ότι εμφανίζονται ανεπιθύμητες διαφημίσεις που προέρχονται από sites που δεν έχει επισκεφθεί ποτέ. Μπορεί να εμφανιστεί μια νέα σελίδα εκκίνησης στο browser. Τέλος, οι ειδικοί διαπίστωσαν ότι το Extenbro διανέμεται ως μέρος κακόβουλου λογισμικού από την οικογένεια πακέτων Trojan.IstartSurf.
Για να εμφανιστεί η ανεπιθύμητη διαφήμιση, The Extenbro αλλάζει τις ρυθμίσεις DNS στο σύστημα του θύματος. Επιπλέον, οι ερευνητές σημειώνουν ότι
"Εάν ένας χρήστης ανοίξει τις ρυθμίσεις και μεταβεί στην καρτέλα Advanced DNS, θα διαπιστώσει ότι τέσσερις νέοι διακομιστές DNS εμφανίστηκαν στο σύστημα ταυτόχρονα και όχι δύο, όπως συνήθως συμβαίνει. Δυστυχώς, δεν διαθέτουν όλοι οι χρήστες τις γνώσεις για να μεταβούν στις προηγμένες ρυθμίσεις και να δώσουν προσοχή στο γεγονός ότι δεν υπάρχουν δύο, αλλά τέσσερις διακομιστές ταυτόχρονα».
Το χειρότερο είναι ότι εάν το θύμα προσπαθήσει να απαλλαγεί από τους “ψεύτικους” διακομιστές DNS διαγράφοντας τους, το κακόβουλο πρόγραμμα θα τους επαναπροσθέσει στις ρυθμίσεις μετά από κάθε επανεκκίνηση του συστήματος.
Επιπλέον, το κακόβουλο λογισμικό απενεργοποιεί πλήρως το σύστημα IPv6, έτσι ώστε το θύμα να μην μπορεί να παρακάμψει τους κακόβουλους διακομιστές DNS και να προστατεύσει τον υπολογιστή του. Προστίθεται και ένα νέο root certificate στα Windows root certificates κάνοντας αλλαγές στο αρχείο user.js του Firefox.
Αυτό αναγκάζει τον Firefox να χρησιμοποιήσει το Windows certificate store, όπου προστέθηκε το root certificate του εισβολέα.
