Троянец, встраивающий рекламу

Как сообщила компания «Доктор Веб», в июле ее специалисты обнаружили несколько троянцев, предназначенных для демонстрации пользователям назойливой рекламы. Один из них, получивший наименование Trojan.Ormes.186, встраивает рекламу в просматриваемые жертвой страницы сайтов с использованием технологии Web-инжектов.

Программа Trojan.Ormes.186 представляет собой расширение для браузера Mozilla Firefox, состоящее из трех файлов на языке JavaScript. Один из этих файлов зашифрован и предназначен для демонстрации различной рекламы, а два других встраивают его в открываемые в окне браузера Web-страницы непосредственно на компьютере жертвы (эта технология и называется Web-инжектом).

Основной код троянца расположен в зашифрованном файле и именно он реализует основные функции Trojan.Ormes.186. В теле программы содержится список, состоящий из примерно 200 адресов Интернет-ресурсов, при обращении к которым Trojan.Ormes.186 выполняет Web-инжекты. Среди них – сайты для поиска и размещения вакансий, а также адреса популярных поисковых систем и социальных сетей.

В коде троянца предусмотрена специальная функция, предположительно реализующая возможность автоматической эмуляции щелчка мышью на различных элементах Web-страниц с целью подтверждения подписок для абонентов мобильных операторов «Мегафон» и «Билайн». Кроме того, при открытии в окне браузера сайтов Яндекс, Youtube, соцсетей «ВКонтакте», «Одноклассники» и Facebook троянец загружает с удаленного сайта и выполняет соответствующий сценарий, который через цепочку редиректов перенаправляет жертву на сайты различных файлообменных систем, использующих для монетизации платные подписки. В процессе работы с поисковыми системами троянец также встраивает в страницы с отображаемыми в результате обработки запроса ссылками рекламные баннеры. В страницы Facebook вредоносная программа внедряет скрытый элемент iframe (с целью установки внутренних переменных, необходимых для работы троянца), благодаря чему Trojan.Ormes.186 может автоматически устанавливать отметку Like ряду сайтов из специального списка.

Среди других возможностей Trojan.Ormes.186 следует отметить функцию автоматического входа на сайты онлайн-казино, список которых также имеется в теле программы. Если сайт содержит предложение об установке приложения для социальных сетей, троянец выполняет автоматическое перенаправление пользователя на страницу такого приложения. Отслеживая открытие подобных страниц, Trojan.Ormes.186 эмулирует щелчок мышью по ссылке, разрешающей установку, в результате приложение инсталлируется фактически без участия пользователя.

В случае появления признаков активности троянца Trojan.Ormes.186, таких как заметное замедление работы браузера Firefox и появление на просматриваемых Web-страницах подозрительной рекламы, специалисты компании «Доктор Веб» рекомендуют выполнить сканирование устройства штатными средствами Антивируса Dr.Web, а также проверить список установленных расширений браузера и удалить плагин с именем NetFilterPro и описанием Additional security for safe browsing experience.