Onderzoekers hebben een zogenaamde vpn-applicatie ontdekt die voornamelijk Windows 10-computers met hardnekkige adware infecteert. De adware, die over een rootkit-onderdeel beschikt, wordt Zacinlo genoemd (pdf). De infectie begint met de installatie van een vpn-applicatie genaamd S5Mark.
Het zogenaamde vpn-programma laat gebruikers geloven dat er een vpn-verbinding is opgezet, terwijl dat helemaal niet het geval is. In werkelijkheid gaat het om een programma dat de Zacinlo-adware en bijbehorende rootkit downloadt. De rootkit is digitaal gesigneerd en kan op de meeste Windows-systemen worden geïnstalleerd, waaronder Windows 10. Volgens onderzoekers van anti-virusbedrijf Bitdefender zijn rootkits verantwoordelijk voor minder dan één procent van alle malware, en besloten ze daarom verder onderzoek in te stellen.
Dat leidde tot de ontdekking van de Zacinlo-adware. Voor de installatie van de adware wordt de real-time monitoring van Windows Defender uitgeschakeld. Na de installatie van de adware wordt die weer ingeschakeld. Het rootkit-gedeelte van de adware kan processen stoppen die het als gevaarlijk voor de adware beschouwt. Ook zorgt het ervoor dat de adware niet kan worden gestopt of verwijderd.
Tevens wordt er een nieuwe certificaatautoriteit in de browser van de gebruiker geïnstalleerd en beschikt de adware over een "man-in-the-browser" functionaliteit waarmee ssl-verbindingen kunnen worden onderschept en ontsleuteld. Hierdoor kan de adware JavaScript in de websites injecteren die de gebruiker bezoekt. Daarnaast kan de adware bezoekers naar andere pagina's doorsturen. Het uiteindelijke doel van de adware is het vervangen van advertenties en plegen van advertentiefraude.
Besmette systemen lopen daarnaast risico om ook door andere malware te worden geïnfecteerd. De rootkit blokkeert namelijk ook de anti-malwaremodule van verschillende bekende virusscanners, waaronder die van Bitdefender, Malwarebytes, Symantec, Panda, HitmaPro, Avast, AVG, Microsoft en Kaspersky Lab. De meeste Zacinlo-infecties werden in de Verenigde Staten waargenomen, gevolgd door Brazilië, China, Duitsland en Frankrijk. Volgens Bitdefender gaat het voornamelijk om Windows 10-computers. Negentig procent van alle besmette systemen draait namelijk op deze Windows-versie.
Deze posting is gelocked. Reageren is niet meer mogelijk.