Исследователи из компании Malwarebytes обнаружили вариант ПО, устанавливающего нежелательную рекламу на компьютере пользователя. После более подробного анализа программа, получившая наименование Vonteera, была классифицирована как троян в связи с некоторыми модификациями, которые она осуществляет на инфицированной системе.

В ходе анализа эксперты заметили, что вредонос добавляет в общей сложности 13 сертификатов в категорию «Недоверенные сертификаты» в хранилище сертификатов Windows. В их числе сертификаты для антивирусных компаний ESS Distribution, Avast, AVG Technologies, Avira, Baidu, Bitdefender, ESET, Lavasoft, Malwarebytes, McAfee, Panda Security, ThreatTrack Security и Trend Micro. Таким образом троян обеспечивает себе защиту от обнаружения антивирусными решениями. Более того, пользователь не сможет загружать файлы с сайтов, использующих данные сертификаты. Созданный трояном сервис appinf.exe предназначен для проверки наличия сертификатов и их восстановления в случае удаления пользователем.

Оказавшись на целевой системе, Vonteera создает в планировщике Windows Task Scheduler несколько задач для отображения рекламных баннеров через равные промежутки времени. Также троян создает новую службу appinf.exe и модифицирует ярлыки для рабочего стола, панели задач и пускового меню для интернет-обозревателей Internet Explorer, Firefox, Chrome, Opera и Safari. Таким образом, при запуске одного из этих приложений загружается скрипт, предназначенный для рандомизации перенаправлений пользователя во время работы с браузером.

В случае с Internet Explorer троян добавляет новый модуль Browser Helper Object (BHO). Если используется Google Chrome, Vonteera эксплуатирует ключ ExtensionInstallForcelist, определяющий список приложений и расширений, которые устанавливаются «по-тихому», и получают все запрашиваемые разрешения. Эти программы не могут быть деинсталлированы пользователем.