Исследователями из компании Malwarebytes была обнаружена разновидность программного обеспечения, которое внедряет в компьютер пользователя нежелательную рекламу. После подробного анализа эксперты классифицировали программу, названную Vonteera, как троянскую из-за некоторых модификаций, осуществляемыми Vonteera на зараженной системе.
Проводя анализ, специалисты обратили внимание на то, что вредоносная программа отмечает 13 сертификатов в хранилище Windows как недоверенные. Среди них – сертификаты для антивирусных компаний Avast, Avira, AVG Technologies, Baidu, Bitdefender, ESET, ESS Distribution, Lavasoft, Malwarebytes, McAfee, Panda Security, ThreatTrack Security и Trend Micro. Таким образом троянская программа защищается от обнаружения антивирусами. Кроме того, у пользователя не будет возможности осуществлять загрузку файлов с ресурсов, которые используют сертификаты такого рода. Сервис appinf.exe, созданный троянской программой, предназначается для проведения проверки на наличие сертификатов, а также, в случае удаления пользователем, для их восстановления.
После внедрения Vonteera в целевую систему, в планировщике Windows Task Scheduler троянской программой создаются задачи для отображения через равные промежутки времени рекламных баннеров. Троянской программой создается новая служба appinf.exe, а также модифицируются ярлыки для рабочего стола, панели задач и пускового меню для Интернет-браузеров Chrome, Internet Explorer, Firefox, Opera и Safari. При запуске одного из данных приложений осуществляется загрузка скрипта, предназначенного для рандомизации перенаправлений пользователя во время работы с Интернет-браузером.
Vonteera, в случае с Internet Explorer, добавляет новый модуль Browser Helper Object. При использовании Google Chrome, троянская программа использует ключ ExtensionInstallForcelist, который определяет список расширений и приложений, которые скрытно устанавливаются и получают все запрашиваемые разрешения. Данные программы не могут быть удалены пользователем.