Trojan.BPLug.1041 - троян маскирующийся под антивирусную утилиту


Trojan.BPLug.1041 - троянская программа, которая маскируется под антивирусную утилиту известного разработчика, и угрожающая любителям одного из популярных отечественных сериалов.

Троян был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками веб-страницу отечественного телеканала, посвященную одному из популярных российских телесериалов. Также установлено, что компрометации подверглось еще несколько посещаемых интернет-ресурсов, в том числе связанных с телевизионными шоу.

Кроме того, при переходе пользователя на зараженный сайт с другого домена, а также при соблюдении ряда условий (использование 32-битной ОС семейства Windows или ОС семейства Mac OS X с архитектурой Intel и браузера, отличного от Opera), вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников. А встроенный в код этой веб-страницы специальный обработчик не позволяет закрыть данную вкладку. При нажатии клавиш или щелчке мышью на экране будет демонстрироваться назойливое окно, в котором предлагается пользователю установить некое расширение для браузера. При этом злоумышленники выдают данное расширение за утилиту, якобы созданную широко известной компанией-производителем антивирусного ПО.

Shit bezopasnosti KIS Browserprotector Browserprotector v polnoekrannom rejime

В процессе установки данного плагина, он требует у пользователя предоставить ему ряд специальных разрешений. После успешной инсталляции утилита отображается в списке установленных расширений Chrome под именем "Щит безопасности KIS".

Install Shit bezopasnosti KIS Rasshirenie Shit bezopasnosti KIS

Вредоносный плагин Trojan.BPLug.1041 включает в себя два обфусцированных файла на языке JavaScript. Его основное предназначение - выполнение веб-инжектов - встраивание постороннего содержимого в просматриваемые пользователем веб-страницы. Интересно, но на всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации.

За отображение рекламы в трояне отвечает отдельная функция. С ее помощью троян анализирует содержимое открытой пользователем веб-страницы. Если ее контекст включает порнографическое содержимое, то Trojan.BPLug.1041 загружает рекламу соответствующей тематики из двух отдельных сетей. Еще данное расширение содержит список сайтов, на которых троян не показывает рекламу, например:

  • fsb.ru;
  • gov.ru;
  • government.ru;
  • mos.ru;
  • gosuslugi.ru;
  • некоторые другие.


Trojan.BPLug.1041 передает на сервер злоумышленников сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать трояну, какие расширения следует отключить.

Если пользователь авторизовался в "Одноклассниках", то Trojan.BPLug.1041 пытается предоставить определенному приложению доступ к API этой социальной сети от имени жертвы путем авторизации по протоколу OAuth. В процессе авторизации запрашиваются привилегии на изменение статуса, просмотр, редактирование, загрузку фотографий, просмотр и отправку сообщений от имени пользователя, а также некоторые другие. Вероятно, этот функционал используется злоумышленниками в различных рекламных целях — например, для продвижения групп, рассылки спама или каких-либо голосований.

Ispolzovanie Trojan.BPLug.1041 dlya prodvijeniya v socsetyah

Примечательно то, что в интернет-магазине Chrome имеются целых три расширения с именем "Щит безопасности KIS", созданных одним и тем же автором, однако два из них по различным причинам нефункциональны. Общее число установок всех трех плагинов на сегодняшний день превышает 30 тысяч.