Win32/Theola похищает данные систем онлайн-банкинга с использованием плагина для браузера Google Chrome

[shanker]

Статья интересная, но есть несколько вопросов:
1. Каким образом вирус внедряется в систему? Это происходит при эксплуатации каких-то уязвимостей или другим путём?
2. На каких Windows-платформах он работает?
3. Каким образом происходит установка плагина в браузер? Требуется ли от пользователя подтверждение установки плагина в систему?
4. Каким образом ваши антивирусные продукты способны защитить пользователей от этого вируса на данный момент времени? Способно ли ваше ПО «вылечить» заражённую машину?

[MARDEN]

Вопросы не менее интересные, но ответа, похоже, не будет :(

[CAJAX]

Судя по скриншотам и описанию речь идёт о расширении, а не о плагине.

[abrwalk]

npapi плагин внитри crx контейнера.
вы бы хоть статью прочтитали, прежде чем осуждать

[CAJAX]

Для хрома это не расширение?

[Mairon]

Расширение, внутри которого плагин. Его можно будет увидеть в списке подключенных в chrome://plugins/

[CAJAX]

Разве для установки расширения (а с ним и плагина) не нужно подтверждение пользователя?

[Mairon]

Если инсталлятор запущен с правами суперпользователя, то он может делать всё, что угодно, и никакой Хром ему не указ. Хром, кстати, по умолчанию отключает теперь расширения не из CWS.
Через групповые политики, кстати, по-моему, можно поставить расширение, которое из браузера не отключить. Опция будет недоствпна. Удивлен, что такое не сделали.

[amirul]

Насколько я помню, по-умолчанию Chrome ставится в AppData пользователя и там же держит все настройки и плагины, так что даже повышения привилегий не нужно. Для установки в Program Files нужно использовать msi-ный Chrome for Businesses.

[Mairon]

Да, но по-моему для установки расширений сайдлоадингом нужно прописываться в реестр с повышенными привилегиями, хотя я точно не уверен.

[ComodoHacker]

Разве он осуждает?

[KAdot]

IDA Pro.

[ComodoHacker]

И как же детектить такую активность?
Будете добавлять эвристики?