Сервис appinf.exe предназначен для проверки наличия сертификатов.

Исследователи из компании Malwarebytes обнаружили вариант ПО, устанавливающего нежелательную рекламу на компьютере пользователя. После более подробного анализа программа, получившая наименование Vonteera, была классифицирована как троян в связи с некоторыми модификациями, которые она осуществляет на инфицированной системе.

В ходе анализа эксперты заметили, что вредонос добавляет в общей сложности 13 сертификатов в категорию «Недоверенные сертификаты» в хранилище сертификатов Windows. В их числе сертификаты для антивирусных компаний ESS Distribution, Avast, AVG Technologies, Avira, Baidu, Bitdefender, ESET, Lavasoft, Malwarebytes, McAfee, Panda Security, ThreatTrack Security и Trend Micro. Таким образом троян обеспечивает себе защиту от обнаружения антивирусными решениями. Более того, пользователь не сможет загружать файлы с сайтов, использующих данные сертификаты. Созданный трояном сервис appinf.exe предназначен для проверки наличия сертификатов и их восстановления в случае удаления пользователем.

Оказавшись на целевой системе, Vonteera создает в планировщике Windows Task Scheduler несколько задач для отображения рекламных баннеров через равные промежутки времени. Также троян создает новую службу appinf.exe и модифицирует ярлыки для рабочего стола, панели задач и пускового меню для интернет-обозревателей Internet Explorer, Firefox, Chrome, Opera и Safari. Таким образом, при запуске одного из этих приложений загружается скрипт, предназначенный для рандомизации перенаправлений пользователя во время работы с браузером.

В случае с Internet Explorer троян добавляет новый модуль Browser Helper Object (BHO). Если используется Google Chrome, Vonteera эксплуатирует ключ ExtensionInstallForcelist, определяющий список приложений и расширений, которые устанавливаются «по-тихому», и получают все запрашиваемые разрешения. Эти программы не могут быть деинсталлированы пользователем.

Источник: www.securitylab.ru