{
	"id": "6ab60e9e-c52b-453a-9883-9a50fb04f7c7",
	"created_at": "2026-04-06T00:07:15.469118Z",
	"updated_at": "2026-04-10T03:22:09.077102Z",
	"deleted_at": null,
	"sha1_hash": "07158b5bc124d90b2106821c30ca5b21f4f9812e",
	"title": "Trojan.Mutabaha.1 — Как быстро найти вирус в вирусной базе антивируса Dr.Web",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 55869,
	"plain_text": "Trojan.Mutabaha.1 — Как быстро найти вирус в вирусной базе\r\nантивируса Dr.Web\r\nPublished: 2016-08-29 · Archived: 2026-04-05 18:39:15 UTC\r\nSHA1:\r\n8a56002732c57e90eb482f7fd3aa75d400b6ba7f\r\nВредоносная программа, устанавливающая на зараженный компьютер собственную сборку браузера\r\nChrome с названием Outfire. Этот браузер подменяет уже установленную копию Chrome, модифицирует\r\nимеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий\r\nпрофиль пользователя Chrome. В браузере Outfire невозможно изменить установленную по умолчанию\r\nстартовую страницу, также он содержит неотключаемую надстройку, предназначенную для подмены\r\nрекламы на веб-страницах.\r\nВ первую очередь на атакуемом компьютере запускается дроппер, который повышает свои привилегии\r\nпосредством модификации ветви системного реестра HKCU\\Software\\Classes\\mscfile\\shell\\open\\command.\r\nДроппер сохраняет на диск и запускает приложение setup_52.3.2743.82_1471853250.exe, также\r\nсохраняются и запускаются .bat-файлы, предназначенные для удаления самого дроппера. Для реализации\r\nзадержки используется следующая команда:\r\n\"C:\\Windows\\system32\\cmd.exe\" /c choice /t 20 /d y /n \u003enul \u0026 del \"\u003cfullpath\u003e \\\u003cdropper\u003e.exe\" \u003e\u003e NUL\r\nГде \u003cfullpath\u003e — полный путь к месту расположения дроппера, \u003cdropper\u003e — имя файла дроппера.\r\nПрограмма-установщик связывается с принадлежащим злоумышленникам управляющим сервером,\r\nполучает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера. Браузер\r\nустанавливается в папку C:\\Program Files\\Outfire и регистрируется в системном реестре:\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Outfire]\r\n\"path\"=\"C:\\\\Program Files\\\\Outfire\\\\\"\r\n\"publicdirectroy_du\"=\"C:\\\\Program Files\\\\Outfire\\\\Reports\\\\Dump\"\r\n\"channel\"=\"ince\"\r\n\"userid\"=\"harddisk_123\"\r\n\"version\"=\"52.3.2743.82\"\r\nТроянец запускает несколько системных служб и создает задачи в Планировщике заданий с целью\r\nзагрузки и инсталляции собственных обновлений.\r\nВредоносная программа проверяет наличие в системе других поддельных браузеров, генерируя их имена с\r\nпомощью комбинации значений из двух списков-словарей:\r\nhttp://vms.drweb.ru/virus/?_is=1\u0026i=8477920\r\nPage 1 of 4\n\n\"apple\", \"bag\", \"cat\", \"boy\", \"pear\", \"ball\", \"fish\", \"bird\", \"egg\", \"fan\",\r\n\"jam\", \"cup\", \"book\", \"bed\", \"gun\", \"jar\", \"leg\", \"hip\", \"boob\", \"pen\",\r\n\"kit\", \"tool\", \"map\", \"nose\", \"ant\", \"box\", \"big\", \"zoo\", \"hot\", \"to\",\r\n\"in\", \"out\", \"red\", \"on\", \"set\", \"bang\", \"sea\", \"go\", \"for\", \"shut\",\r\n\"boss\", \"mon\", \"sys\", \"east\", \"left\", \"cold\", \"foot\", \"ever\", \"hi\", \"yeah\",\r\n\"yes\", \"no\", \"do\", \"june\", \"day\", \"be\", \"we\", \"stan\", \"that\", \"her\",\r\n\"all\", \"will\", \"can\", \"year\", \"new\", \"Gold\" \"fly\", \"old\", \"has\", \"per\", \"fun\", \"ship\", \"duck\",\r\n\"pat\", \"eat\", \"look\",\r\n\"my\", \"glad\", \"one\", \"hair\", \"lamp\", \"face\", \"suck\", \"lose\", \"job\", \"kiss\",\r\n\"ass\", \"leaf\", \"blue\", \"hat\", \"fat\", \"bear\", \"rice\", \"bean\", \"anna\", \"tony,\r\n\"bob\", \"mike\", \"larry\", \"ben\", \"jane\", \"bin\", \"sarah\", \"ness\", \"son\", \"dear\",\"eye\", \"arm\", \"toe\",\r\n\"car\", \"boat\", \"pig\", \"dog\", \"tie\", \"door\", \"flat\", \"cine\", \"rain\", \"seed\", \"fire\", \"may\"\r\nТаким образом формируются имена и номера версий браузеров, полный список которых приведен ниже:\r\n50.17.2661.78 Weness\r\n50.19.2661.78 Eastness\r\n50.21.2661.78 Footblue\r\n50.22.2661.78 Bangone\r\n50.25.2661.78 Legpat\r\n50.26.2661.78 Yestony\r\n50.27.2661.78 Nosemay\r\n51.5.2704.63 Cupblue\r\n51.6.2704.63 Birdkiss\r\n51.7.2704.63 Hipbear\r\n51.8.2704.63 Juneper\r\n51.9.2704.63 Hisarah\r\n51.10.2704.63 Mapcar\r\n51.12.2704.63 Docine\r\n51.13.2704.63 Noanna\r\n51.14.2704.63 Wefat\r\n51.15.2704.63 Seaness\r\n51.16.2704.63 Allold\r\n51.17.2704.63 Gunship\r\n51.18.2704.63 Footship\r\n51.19.2704.63 Nobean\r\n51.20.2704.63 Jamsarah\r\n51.21.2704.63 Birdsarah\r\n51.23.2704.63 Doold\r\n51.24.2704.63 Junedoor\r\n51.25.2704.63 Toolrain\r\n51.26.2704.63 Lefttoe\r\n51.27.2704.63 Zooface\r\nhttp://vms.drweb.ru/virus/?_is=1\u0026i=8477920\r\nPage 2 of 4\n\n51.28.2704.63 Hipfat\r\n51.29.2704.63 Yesdear\r\n51.30.2704.63 Fishlamp\r\n51.31.2704.63 Outlose\r\n51.32.2704.63 Nosejane\r\n51.33.2704.63 Hiprain\r\n51.34.2704.63 Eastfat\r\n51.35.2704.63 Goldlarry\r\n51.36.2704.63 Bigjane\r\n52.1.2743.82 Birddear\r\n52.2.2743.82 Boobseed\r\n52.3.2743.82 Outfire\r\n52.4.2743.82 Allhair\r\n52.5.2743.82 Outboat\r\n52.6.2743.82 Bookfat\r\n52.7.2743.82 Zootony\r\n52.8.2743.82 Birdeye\r\n50.2.2661.78 Sysblue\r\n50.3.2661.78 Eggsuck\r\n50.4.2661.78 Jarsarah\r\n50.7.2661.78 Thatrice\r\n50.8.2661.78 Pearbob\r\n50.10.2661.78 Herness\r\n50.11.2661.78 Redpig\r\n50.13.2661.78 Toolduck\r\n50.14.2661.78 Guntony\r\n50.15.2661.78 Seablue\r\n50.20.2661.78 Monold\r\nПолученные имена троянец сравнивает со значением «Outfire» (с целью исключить самоудаление), после\r\nчего удаляет соответствующие записи из системного реестра, останавливает процессы обнаруженных\r\nбраузеров и удаляет их записи из Планировщика заданий (пример для браузера с именем Bangone):\r\nTASKKILL /F /IM protect.exe\r\nTASKKILL /F /IM Bangone.exe\r\nTASKKILL /F /IM Bangone_server.exe\r\nTASKKILL /F /IM BangoneUpdate.exe\r\n\"C:\\Windows\\System32\\cmd.exe\" /c chcp 437 \u0026 schtasks /Delete /TN \"BangoneCheckTask\" /F\r\n\"C:\\Windows\\System32\\cmd.exe\" /c chcp 437 \u0026 schtasks /Query /TN \"BangoneCheckTask\"\r\n\"C:\\Windows\\System32\\cmd.exe\" /c chcp 437 \u0026 schtasks /Delete /TN \"BangoneBrowserUpdateUA\" /F\r\n\"C:\\Windows\\System32\\cmd.exe\" /c chcp 437 \u0026 schtasks /Query /TN \"BangoneBrowserUpdateUA\"\r\n\"C:\\Windows\\System32\\cmd.exe\" /c chcp 437 \u0026 schtasks /Delete /TN \"BangoneUpdateTaskMachineUA\" /F\r\nhttp://vms.drweb.ru/virus/?_is=1\u0026i=8477920\r\nPage 3 of 4\n\n\"C:\\Windows\\System32\\cmd.exe\" /c chcp 437 \u0026 schtasks /Query /TN \"BangoneUpdateTaskMachineUA\"\r\n\"C:\\Windows\\System32\\cmd.exe\" /c chcp 437 \u0026 schtasks /Delete /TN \"BangoneBrowserUpdateCore\" /F\r\nНовость о троянце\r\nSource: http://vms.drweb.ru/virus/?_is=1\u0026i=8477920\r\nhttp://vms.drweb.ru/virus/?_is=1\u0026i=8477920\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://vms.drweb.ru/virus/?_is=1\u0026i=8477920"
	],
	"report_names": [
		"?_is=1\u0026i=8477920"
	],
	"threat_actors": [],
	"ts_created_at": 1775434035,
	"ts_updated_at": 1775791329,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/07158b5bc124d90b2106821c30ca5b21f4f9812e.pdf",
		"text": "https://archive.orkl.eu/07158b5bc124d90b2106821c30ca5b21f4f9812e.txt",
		"img": "https://archive.orkl.eu/07158b5bc124d90b2106821c30ca5b21f4f9812e.jpg"
	}
}