Специалисты Malwarebytes Labs обнаружили трояна Extenbro, который не только поменяет DNS для показа рекламы, но и не дает пользователю заходить на сайты антивирусов и других защитных продуктов. Это делается для того, чтобы пользователь не мог загрузить и установить какую-либо защитную программу и избавиться от малвари. Исследователи предупреждают, что тем самым вредонос ставит зараженные машины под угрозу перед другими видами атак, фактически оставляя зараженные системы без защиты.

Эксперты отмечают, что похожее вредоносное поведение ранее уже демонстрировала малварь Vonteera, использовавшая системные сертификаты для отключения антивирусных решений на зараженных машинах.

В основном Extenbro распространяется в составе различных рекламных бандлов. После установки такого «пакета ПО» пользователь обнаружит, что на его машине появилась нежелательная реклама, исходящая не с тех сайтов, которые он посещает, а в браузере может появиться новая стартовая страница. Так, эксперты Malwarebytes Labs обнаружили, что Extenbro распространяется в составе вредоноса из бандлового семейства Trojan.IStartSurf.

С целью демонстрации нежелательной рекламы Extenbro изменяет настройки DNS в системе жертвы. Более того, исследователи отмечают, что если пользователь откроет настройки и перейдет во вкладку Advanced DNS, он обнаружит, что в системе появились сразу четыре новых DNS-сервера, а не два, как это бывает обычно. К сожалению, перейти к продвинутым настройкам и обратить внимание, что DNS-серверов не два, а сразу четыре, сумеют далеко не все пользователи.
Троян Extenbro поменяет DNS и блокирует доступ к сайтам защитных решений - «Хакер»