Рекламный троянец как обновление Flash Player

Компания «Доктор Веб» сообщила об активном распространении – в частности, через соцсеть Facebook – троянской программы Trojan.Zipvideom.1, устанавливающей на компьютер пользователя вредоносные расширения (плагины) к браузерам Mozilla Firefox и Google Chrome. Эти плагины препятствуют свободному просмотру веб-страниц, демонстрируя рекламу.

ПО Trojan.Zipvideom.1 попадает на компьютеры жертв под видом обновления для плагина Adobe Flash. В начале 2014 г., по информации от пользователей, образцы этого троянца распространялись путем массовых рассылок сообщений в сети Facebook. Есть основания полагать, что автор троянца говорит на турецком языке.

Если пользователь соглашается с рекомендацией обновить Adobe Flash Player, на его компьютер скачивается компонент троянца – программа FlashGuncelle.exe, при этом пользователю демонстрируется ход установки якобы обновления к Flash Player. Далее FlashGuncelle.exe связывается с сервером злоумышленников и скачивает на компьютер следующий компонент троянца – дроппер, который устанавливает и запускает еще несколько компонентов. Среди них файл Flash_Plugin.exe, который модифицирует ветвь системного реестра, отвечающую за автозагрузку приложений, а затем скачивает и устанавливает плагины к браузерам Firefox и Chrome.

Опасность троянца заключается в том, что загружаемые им плагины мешают просмотру сайтов, демонстрируя рекламу, а также имеют возможность скачивать на компьютер жертвы другое нежелательное ПО. Установлено, что при посещении таких сайтов, как Twitter, Facebook, Google, YouTube, Vkontakte, эти плагины загружают Java-скрипты сомнительного назначения.