Зловреды начали подменять браузеры целиком, вместо того, чтобы встраиваться в них

Rather than hijack Chrome (which is getting harder), adware deletes Chrome and installs own Chromium-based browser https://t.co/nhFvhI3ROu ^[1]

— SecuriTay (@SwiftOnSecurity) 16 октября 2015 ^[2]

Неистощима фантазия авторов злонамеренных программ. Недавно Google Chrome начал закручивать гайки и ограничивать в правах расширения браузера – с некоторых пор они должны проходить проверку кода специалистами компании. В связи с этим вместо того, чтобы пытаться встроиться в существующий браузер в виде расширения, новый зловред по имени eFast ^[3]просто подменяет собою весь браузер целиком.

eFast основан на свободном движке Chromium. Он отмечает себя в системе как браузер по умолчанию, и переназначает себе множество файловых ассоциаций, включая расширения htm, html, gif, jpg и другие. Кроме них, перехватываются ассоциации с url – ftp, http, https, mailto, и прочие. В результате, все файлы и все ссылки открываются уже в новом «браузере». В свойствах приложения можно видеть, что его источником указана некая компания Clara Labs Software с сайтом clara-labs.com

После этого на десктопе появляются несколько ссылок на популярные сайты, с иконками, сильно напоминающими иконки Chrome. Естественно, сам «браузер» также выглядит практически как Chrome благодаря одинаковым движкам.

Программа попадает на компьютер через установщики бесплатного софта, скачанного с недобросовестных сайтов. При использовании eFast вместо нормального браузера пользователя ожидает обилие непрошенной рекламы, встраивающейся прямо в страницы, и всплывающих окон.

Автор: SLY_G

Источник ^[4]