Вредоносное ПО разновидности Kovter маскируется под апдейт для интернет-обозревателя Firefox. При посещении зараженного сайта, пользователю предлагается установить фиктивное обновление для браузера.
Исследователи определили, что трояну не нужны файлы и, похоже, он использует легитимный сертификат, выпущенный Comodo. Последняя уже предупреждена и вскоре сертификат будет отозван. Ну а пользователям пока стоит воздержаться от установки обновлений Firefox.
Вред пользователю от этого вируса может проявляться в установке на ОС удаленно обновляемых троянов для доступа к компьютеру, вымогании с владельца ПК денег и кликании рекламы.
Вирус записывает встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий.
Источник: Securitylab