Webarchive.pro 2.0: MSI-файл и VSProtector

Свершилось: браузерное расширение Webarchive.pro, о котором я впервые заговорил в мае, а вернее построенная вокруг него инфраструктура теперь распространяет вирусы.

Создатели этой инфраструктуры заставляют пользователей мобильных устройств устанавливать бесполезное приложение, а на компьютерах ссылки, размещённые через Webarchive.pro, отныне навязывают пользователям установку вирусного ПО.

Заглушка, не дающая просмотреть сайт, по смыслу осталась такой же, но при нажатии на кнопку “Установить” браузер не переходит в магазин расширений, как раньше, а скачивает файл setup.14093.msi (заметьте, цифра в имени файла, как и само имя – переменное значение, а расширение MSI, файла установки компонентов Windows, это вообще наглость).

Только ради информации я запустил этот файл через “песочницу” антивируса на своём компьютере. Что интересно, предварительная проверка MSI-файла антивирусной утилитой 360 Total Security ничего не дала, но при распаковке антивирус обнаружил два вредоносных файла и… по неясной причине позволил-таки установить приложение Visual Protect Service.

Вирусы, распространяющиеся через расширение Webarchive.pro
Найденные вирусы – HEUR/QVM20.1.Malware.Gen и Win32/Backdoor.86e. Остальные найденные в тот же день проблемы – из-за запуска файла setup.14093.msi

Не пробуйте повторить это дома! Еле удалил с помощью чистки автозагрузки, перезагрузки, удаления незнакомого расширения в браузере, AdwCleaner’а, перезагрузки, полной проверки антивирусом в соответствующем порядке.

Насколько я понял, программа Visual Protect Service прописывает в автозагрузку ОС запуск процесса VSProtector и при необходимости переустановку расширений в браузер, которые маскируются под миловидными именами. MSN Homepage & Bing Search Engine, например.

Вирусное расширение MSN Homepage & Bing Search Engine в списке расширений Google Chrome
Не любят в народе Internet Explorer :-)

Отправил файл на анализ нескольким антивирусным вендорам, и почти все меня заверили, что вирусы в файле им известны. Пока только “Авире” помог узнать новую угрозу, обещают добавить детекцию и устранение в ближайших обновлениях сигнатур.

Ответ Avira по поводу вируса VSProtector

Техподдержка ESET ответила на удивление по-человечески.

Ответ ESET по поводу вируса VSProtector

Расхваленный 360 Total Security и тут лажанул, написав, что проверка отправленного файла на вредоносность не удалась и порекомендовав (чего в таких случаях делать нельзя!) внести этот файл в список исключений.

Ответ 360 Total Security по поводу вируса VSProtector

Dr.Web нашёл трояна! Не malware, не backdoor, а Trojan.Ormes.235. Придётся готовить комп к полной очистке и переустановке системы :-(

Ответ Dr.Web по поводу вируса VSProtector

В общем, выводы неутешительные. В противостоянии “Мир против Webarchive.pro”  пока побеждают последние. Наверняка вовсю идёт эпидемия.

UPD: Вирус мутирует на глазах. Шторка с предложением установить расширение больше не показывается, вместо этого сразу начинается скачивание файла MSI – в этот раз fb-messenger.msi. Никогда не запускайте такие файлы!

Добавить комментарий