Рекламний Trojan.Triosir.1 інтегрується в плагіни браузерів

Останнім часом надзвичайно широке поширення отримали шкідливі програми, призначені для демонстрації у вікні браузера нав'язливої реклами і підміни вмісту веб-сторінок. Небезпека подібних троянців полягає, насамперед, у тому, що вони демонструють рекламні оголошення на популярних сайтах, до яких користувачі ставляться з високим ступенем довіри, а серед рекламованих ресурсів нерідко зустрічаються шахрайські сайти та веб-сторінки, помічені в поширенні шкідливого ПО. Однією з таких загроз є троянець Trojan.Triosir.1, про появу якого компанія «Доктор Веб» попереджає користувачів.

Trojan.Triosir.1 поширюється з використанням ресурсів партнерської програми Installmonster разом з різними додатками і використовує для своєї установки інсталятор Amonetize (amonetize.com). Функціонал Trojan.Triosir.1 в цілому схожий з можливостями троянця Trojan.Zadved.1. Основне призначення Trojan.Triosir.1 - підміна вмісту переглядаються користувачем веб-сторінок за допомогою технології веб-інжектов, при цьому демонстрована троянцем реклама містить посилання на різні шахрайські ресурси. Основні модулі троянця реалізовані у вигляді плагінів (надбудови) до популярних браузерів. Зокрема, Trojan.Triosir.1 поширюється разом з додатком для створення знімків екрану Screeny, встановлює в процесі своєї інсталяції однойменний плагін для браузерів Mozilla Firefox, Chrome і Opera, який залишається в системі, навіть після видалення основного додатка.

Встановлені в інфікованій системі плагіни виконують закачування основного файлу шкідливого сценарію з віддаленого сервера. Даний сценарій, призначений для підміни рекламних модулів і вбудовування в веб-сторінки сторонньої реклами, починає працювати не відразу, а «вичікує» деякий час, щоб приспати пильність користувача. При цьому в його структурі прописані спеціальні алгоритми впровадження реклами на сторінки деяких найбільш популярних інтернет-ресурсів, наприклад, соціальної мережі «ВКонтакте», «Однокласники» та ін. Шкідливий скрипт має досить просунутий функціонал: наприклад, він вміє отримувати інформацію про поле і дату народження користувача з його профілю в соціальній мережі.

Серед рекламованих троянцем ресурсів переважають шахрайські сайти, які підписують користувача на різні послуги шляхом надсилання на вказаний номер мобільного телефону СМС-повідомлення з кодом підтвердження.

Крім найбільш популярних і відвідуваних сайтів, Trojan.Triosir.1 вміє підміняти рекламу та на веб-сторінках, які не входять в «привілейований список». При цьому троянець володіє спеціальною функцією розпізнавання «поганих» з точки зору рекламодавців сайтів з використанням спеціального фільтра ключових слів - на таких ресурсах реклама не підміняється. Крім того, Trojan.Triosir.1 спеціально шукає на веб-сторінках і замінює своїми модулями рекламу декількох партнерських мереж, серед яких - lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru і деякі інші. Також в коді троянця передбачений набір правил, що дозволяють «ховати» деякі елементи на сайтах my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru і avito.ru.

Є підстави вважати, що до створення та поширення трояна причетна новосибірська компанія Trioris, що працює за наступною схемою монетизації: компанія відшукує який-небудь додаток, домовляється з його розробниками і, додавши до складу програми додаткові плагіни, займається її розповсюдженням, або укладає договір дистрибуції з третьою стороною (наприклад, компанією Amonetize, розповсюджує Trojan.Triosir.1 з використанням можливостей партнерської програми Installmonster.

Джерело: Dr.Web