Свершилось: браузерное расширение Webarchive.pro, о котором я впервые заговорил в мае, а вернее построенная вокруг него инфраструктура теперь распространяет вирусы.
Создатели этой инфраструктуры заставляют пользователей мобильных устройств устанавливать бесполезное приложение, а на компьютерах ссылки, размещённые через Webarchive.pro, отныне навязывают пользователям установку вирусного ПО.
Заглушка, не дающая просмотреть сайт, по смыслу осталась такой же, но при нажатии на кнопку «Установить» браузер не переходит в магазин расширений, как раньше, а скачивает файл setup.14093.msi (заметьте, цифра в имени файла, как и само имя — переменное значение, а расширение MSI, файла установки компонентов Windows, это вообще наглость).
Только ради информации я запустил этот файл через «песочницу» антивируса на своём компьютере. Что интересно, предварительная проверка MSI-файла антивирусной утилитой 360 Total Security ничего не дала, но при распаковке антивирус обнаружил два вредоносных файла и… по неясной причине позволил-таки установить приложение Visual Protect Service.
Не пробуйте повторить это дома! Еле удалил с помощью чистки автозагрузки, перезагрузки, удаления незнакомого расширения в браузере, AdwCleaner’а, перезагрузки, полной проверки антивирусом в соответствующем порядке.
Насколько я понял, программа Visual Protect Service прописывает в автозагрузку ОС запуск процесса VSProtector и при необходимости переустановку расширений в браузер, которые маскируются под миловидными именами. MSN Homepage & Bing Search Engine, например.
Отправил файл на анализ нескольким антивирусным вендорам, и почти все меня заверили, что вирусы в файле им известны. Пока только «Авире» помог узнать новую угрозу, обещают добавить детекцию и устранение в ближайших обновлениях сигнатур.
Техподдержка ESET ответила на удивление по-человечески.
Расхваленный 360 Total Security и тут лажанул, написав, что проверка отправленного файла на вредоносность не удалась и порекомендовав (чего в таких случаях делать нельзя!) внести этот файл в список исключений.
Dr.Web нашёл трояна! Не malware, не backdoor, а Trojan.Ormes.235. Придётся готовить комп к полной очистке и переустановке системы :-(
В общем, выводы неутешительные. В противостоянии «Мир против Webarchive.pro» пока побеждают последние. Наверняка вовсю идёт эпидемия.
UPD: Вирус мутирует на глазах. Шторка с предложением установить расширение больше не показывается, вместо этого сразу начинается скачивание файла MSI — в этот раз fb-messenger.msi. Никогда не запускайте такие файлы!