Фальшивые апдейты Chrome и Adobe Flash

23.10.2013 | 13:04 Экономика

Будьте начеку: в сети появились фейковые апдейты Chrome и Adobe Flash

В конце истекшей недели в интернет появились фальшивые обновления Chrome и Adobe Flash, использующие новые технологии распространения зловредного ПО. По внешнему виду они не отличаются от «родного» дизайна Google и Adobe.

Эти апдейты имеют валидную цифровую подпись от VeriSign. Прецеденты подобного уже встречались, но использовать такого дорогого провайдера, как VeriSign — очень необычная мера для создателей вирусов. Службы аутентификации VeriSign сегодня являются частью Symantec.

Фейковый апдейт Chrome использует логотип Chrome, напоминающий настоящий — но всё же отличающийся от него. Страница верно определяют версию используемого Chrome, но потом сообщает, что версия «может быть устаревшей».

Файл называется Chrome_Security_Plugin_Setup.exe и «весит» 1.74МБ. Информации о файле идентифицирует его как «Express Install» version «3, 7, 1, 0». Издателем, также идентифицируемым с помощью сертификата, подписанного VeriSign, является «Tiny Installer».

В соответствии с информацией VirusTotal, 5 из 48 продуктов, с которыми они работают, распознали файл. Fortinet и ESET распознали его как W32/Kryptik. Ранее в блоге Fortinet этот троян описывался как ориентированный на похищение информации, имеющей отношение к FTP, а автора трояна поздравляли за высокое качество кода.

Фейковый апдейт Adobe не столь чётко идентифицируется в плане исходного продукта для подражания. Он сообщает пользователю: «Обновите Media Player (обязательно)», а выглядит как классический апдейт от Adobe. Имя файла — » Flash Player 12.exe», и вес — 814KB. Также снабжён цифровой подписью от VeriSign, продукт «Adobe Flash Player» версии 2.0.4.54. На VirusTotal 9 из 48 компаний идентифицируют его как рекламное ПО (adware).