Onderzoekers hebben een Trojaans paard ontdekt dat op besmette systemen een nepversie van Google Chrome installeert die advertenties op bezochte sites vervangt. Om gebruikers niets te laten vermoeden worden snelkoppelingen aangepast en het gebruikersprofiel naar de nieuwe browser gekopieerd.

Dat laat het Russische anti-virusbedrijf Doctor Web weten. Het gaat om de Mutabaha Trojan, die volgens de onderzoekers opvalt omdat die de UAC-beveiligingsfunctie van Windows omzeilt. UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Het is echter mogelijk UAC te omzeilen. Hiervoor gebruikt de malware een recent gepubliceerde methode waarbij het Windows Register wordt aangepast.

Eenmaal actief downloadt het Trojaanse paard de nepversie van Chrome genaamd Outfire. Vervolgens wordt het gebruikersprofiel uit Chrome gekopieerd en aanwezige snelkoppelingen aangepast. Als laatste controleert de malware of er geen andere nepbrowsers op het systeem actief zijn. Is dit het geval, dan worden die verwijderd. De malafide browser laat een startpagina zien die niet door gebruiker is aan te passen. Tevens bevat het een extensie die advertenties op bezochte websites vervangt en gebruikt het een eigen zoekmachine.