Небезпечний троян підміняє веб-сторінки

Троянець складається з двох компонентів: дроппера і динамічної бібліотеки, в якій і міститься основна шкідлива навантаження. В процесі встановлення на комп'ютер жертви дроппер створює власну копію в одній з папок на жорсткому диску і запускає на виконання. В операційній системі Microsoft Windows Vista для обходу системи контролю облікових записів користувачів (User Accounts Control, UAC) дроппер може запуститися під виглядом поновлення Java, зажадавши у користувача підтвердження завантаження програми.

Потім дроппер зберігає на диск основну бібліотеку троянця, яка вбудовується в усі запущені на інфікованому ПК процеси, однак продовжує роботу тільки в процесах браузерів Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Інтернет, Яндекс.Браузер, Рамблер Ніхром. Конфігураційний файл, що містить всі необхідні для роботи Trojan.Mods.1 дані, зберігається в зашифрованому вигляді в бібліотеці.

Основне функціональне призначення Trojan.Mods.1 - підміна переглядаються користувачем сайтів належать зловмисникам веб-сторінками шляхом перехоплення системних функцій, які відповідають за трансляцію DNS-імен сайтів в IP-адреси. В результаті діяльності троянця замість запитуваних інтернет-ресурсів користувач перенаправляється на шахрайські сторінки, де його просять вказати номер мобільного телефону, а також відповісти на прислане з короткого номера 4012 СМС-повідомлення. Якщо жертва йде на поводу у шахраїв, то з її рахунку списується певна сума.

В архітектурі Trojan.Mods.1 передбачений спеціальний алгоритм, за допомогою якого можна відключити перенаправлення браузера на певну групу адрес.

Сигнатура даної шкідливої програми додана у вірусні бази Dr.Web, і тому Trojan.Mods.1 не представляє загрози для користувачів програмних продуктів «Доктор Веб».