Google Chrome Nutzer sollten aktuell besonders vorsichtig sein. Das Problem äußert sich in merkwürdigem Verhalten des Browsers. Da erscheinen plötzlich unbekannte Internetseiten und andere Portale sehen merkwürdig aus. Wer solche Veränderungen beobachtet, könnte sich mit dem Trojaner Mutabaha infiziert haben, der derzeit sein Unwesen treibt.


Dr. Web entdeckte Mutabaha


Laut den Experten von Dr. Web wird der Trojaner über einen initiierenden Dropper (z.B. über infizierte E-Mail Anhänge, infizierte Dateien aus unbekannten Quellen ) auf die Systeme gebracht, wie blog.botfrei erläuterte. Erst mittels einer .bat, einer Batchdatei wird der eigentliche Trojaner „Trojan.Mutabaha.1“ auf das System geladen.Nach getaner Arbeit entfernt sich der Dropper selbstständig vom System, bevor installierte Sicherheitssysteme etwas bemerken.
Bei der verwendeten Technik des Trojaners handelt es sich um eine UAC-Bypass-Technik, welche diverse Befehle und Dateien auf dem Rechner ausführen kann, ohne dass die Benutzerkontensteuerung (Windows-UAC) einen Alarm auslöst!, so die Experten von Dr. Web.
Die Infektion geschieht in einer speziellen Form des Google Chrome Browsers, in der Form des Outfire. Während der Installation verankert sich der Trojaner in der Registrierung.

Der Trojaner arbeitet dann wie folgt:

- er startet Systemdienste
- er erstellt mehrere Tasks, um zukünftig Updates herunterzuladen und zu installieren
- er tauscht Verknüpfungen des Chrome Browsers aus (Teile des alten Browsers werden entfernt und Nutzerdaten des Opfers in den Outfire übernommen)
- Outfire entfernt die Prozesse anderer Browser auf dem Rechner

Das alles führt dazu, dass der Nutzer immer nur noch den Outfire mit einer fest voreingestellten Homepage und benutzerdefinierten Suchmaschine starten kann. Diverse Erweiterungen sorgen für die Einbettung von Werbung und Anzeigen auf besuchten Webseiten.


Quelle: Mutabaha Trojaner hat Chrome-Nutzer im Visier