Экспертами из «Доктор Веб» была обнаружена новая вредоносная программа, которая может преодолевать защитный механизм Контроля учетных записей (UAC) в Windows и устанавливать на компьютер поддельный браузер Google Chrome, подменяющий рекламные объявления на веб-страницах, посещаемых пользователем.
Техника, используемая в Trojan.Mutabaha.1, подразумевает применение одной из ветвей системного реестра, что позволяет запускать программы с повышенными привилегиями.
Вначале на компьютере инициируется запуск дроппера, сохраняющего на диске программу-инсталлятор, которая затем активируется. В то же время на зараженном устройстве начинает функционировать .bat-файл, который предназначен для удаления дроппера. Инсталлятор выходит на связь с командным сервером хакеров и получает файл, содержащий адрес для загрузки браузера Outfire, который на самом деле является специальной версией Google Chrome.
В ходе инсталляции браузер проходит регистрацию в реестре Windows, осуществляет запуск ряда системных служб и генерирует задачи в Планировщике заданий для того, чтобы затем загружать и устанавливать собственные обновления. Outfire заменяет браузер Google Chrome, который уже был установлен на компьютере, а также размещает собственные ярлыки и делает копию существующего профиля пользователя. Хакеры пользуются стандартными иконками Chrome, притупляя бдительность жертвы.
Затем троянская программа проводит мониторинг системы, пытаясь выявить другие интернет-обозреватели. При их выявлении процессы браузера останавливаются, его записи в Планировщике Windows удаляются, а в системный реестр вносятся соответствующие изменения.