Trojanac makiran u lažno ažuriranje za Flash

Opisi virusa, 01.04.2013, 08:42 AM

Microsoft je upozorio korisnike na novog Trojanca koji je maskiran u ažuriranje za Adobe Flash i koji menja home page browser-a i presumerava korisnika na stranicu koja je pod kontrolom napadača.

U lažnom ažuriranju za Flash, postoji nekoliko indicija da nešto nije u redu, kao na primer to što je deo GUI na turskom i nema klizne trake (scroll bar) u EULA.

Fajl koga Microsoft detektuje kao Trojan:Win32/Preflayer.A širi se emailovima. Malver zamenjuje home page Internet Explorer-a, Google Chrome-a, Mozilla Firefox-a i Yanex-a sa anasayfada.net ili heyde.com.

Ovi sajtovi izgledaju kao pretraživači. Na njima se prikazuju reklame u iskačućim prozorima, a korisnici se preusmeravaju na stranice koje nisu nameravali da posete.

Kada žrtva pokrene maliciozni fajl, pojavljuje se tipičan Flash Player okvir za dijalog (dialog box). Tekst sporazuma EULA nije u potpunosti vidljiv zbog nedostatka klizne trake. Međutim označavanjem teksta, može se pročitati ceo tekst do kraja i tako videti uslov da će home page browser-a biti promenjen.

Iako većina korisnika i ne čita EULA, čak i onim pažljivijim bi moglo da promakne da će program promeniti početnu stranicu browser-a zbog nedostatka klizne trake.

Ukoliko korisnik ode korak dalje i klikne na dugme Install čiji je tekst na turskom, malver se izvršava i započinje promene. Domeni na kojima su nove početne stranice browser-a, kao i domeni koji hostuju lažno ažuriranje za Flash su ne stariji od 6 meseci, uključujući i onaj od 4. marta koji hostuje maliciozni izvršni fajl.

Trojanac koristi prilično jednostavne trikove, a društveni inženjering nije naročito sofisticiran, bar ne dovoljno da bi ovaj malver bio uspešan. Ipak, iz Microsoft-a poručuju da bi korisnici trebalo da budu oprezni. Ako mislite da nešto nije u redu (recimo, ako vam izgleda sumnjivo nedostatak scroll bar-u u EULA u ovom slučaju), može biti da ste u pravu. Slušajte svoj osećaj.