TrojanGet

Несколько дней назад мы начали получать сообщения от пользователей о том, что на их компьютерах антивирус стал обнаруживать троянские программы в каталоге популярного клиента-загрузчика FlashGet.

Анализ ситуации показал, что проблема существует у пользователей этой программы по всему миру. Основными симптомами является появление в системе файлов с именами inapp4.exe, inapp5.exe, inapp6.exe, детектируемых Антивирусом Касперского как Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezo и Trojan-Dowloader.Win32.Agent.kht.Ситуация выглядела очень странной, т.к. никаких других троянских программ, через которые они могли попасть в систему, не обнаруживалось. У некоторых из пострадавших пользователей были установлены все патчи для операционных систем и браузеров. Каким же образом вредоносные программы проникали в компьютеры?

Наше внимание сразу привлекло месторасположение троянцев — каталог самого FlashGet. Проверка выявила, что кроме троянцев свежую дату создания и модификации имеет файл FGUpdate3.ini (синим цветом выделены отличия от оригинального файла):

Странно, но ссылка на файл inapp4.exe, являющийся троянцем, вела на настоящий сайт FlashGet. Именно оттуда он загружался в виде appA.cab.

Никакой информации об инциденте на сайте FlashGet обнаружено не было, зато изучение форума пользователей программы выявило множественные сообщения (http://bbs.flashget.com/en/viewtopic.php?f=15&t=9763) о случаях заражения и полное молчание со стороны разработчиков.

Судя по информации, найденной нами в сети, первые случаи заражения были зафиксированы еще 29 февраля. Последний известный нам — 9 марта.

10 дней легальная программа выступала в роли троянца-загрузчика, осуществляя установку и запуск в системах пользователей троянских программ, размещенных на сайте компании-производителя!

В настоящий момент троянцы уже удалены с сайта, а FGUpdate3.ini (который также загружается из сети) приведен в исходное состояние.

Способов, при помощи которых FlashGet может быть превращен в троянца-загрузчика, нам видится два. Первый из них самый очевидный — произошел взлом сайта компании-производителя, в результате чего злоумышленникам удалось подменить стандартный файл конфигурации на указывающий на троянскую программу, размещенную там же!

Почему хакеры не использовали другой сайт, мы не знаем — возможно, для лучшей маскировки (ссылка на сайт FlashGet в конфиг-файле может не вызвать подозрений). Мы решили проверить, можно ли использовать этот трюк для загрузки любых других файлов с любых других сайтов?

Ответ — да.

Достаточно добавить в файл FGUpdate3.ini собственную ссылку на что угодно и это будет автоматически загружено и запущено на вашем компьютере при каждом запуске FlashGet. Даже если вы не нажимаете кнопку «Обновить» — FlashGet самостоятельно использует информацию из ini-файла!

«Уязвимость» существует во всех версиях FlashGet 1.9.xx.

Это означает, что несмотря на то, что на данный момент проблема с взломом сайта FlashGet решена, уязвимость в системе пользовательской безопасности остаётся. Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его работать как троянец-загрузчик — и это является вторым из двух упомянутых выше способов.

Стоит ли говорить о том, что FlashGet обычно относится пользователями в разряд «доверенных» приложений и ему позволяется любая сетевая активность и обращения к любым сайтам?

Официальной реакции от китайской компании-разработчика FlashGet на настоящий момент нет. Истинные причины произошедшего остаются неизвестными и никаких гарантий того, что это не случится снова, не существует.

Делайте собственные выводы…