Число узнаваемых вирусным аналитикам вредных программ, которые созданы для демонстрации пользователям Интернета раздражающей рекламы, возрастает день ото дня. Компания «Доктор Веб» сообщает об обнаружении нескольких схожих троянцев, 1 из которых, получивший наименование Trojan.Ormes.186, встраивает рекламу в просматриваемые жертвой интернет-страницы с использованием технологии веб-инжектов.
Вредная программа Trojan.Ormes.186 представляет собой расширение для браузера Mozilla Firefox, состоящее из 3-х файлов, написанных на языке JavaScript. 1 из этих файлов зашифрован и предназначен для демонстрации различного рода рекламы, а два других встраивают его в открываемые в окне браузера интернет-страницы конкретно на компьютере жертвы: схожая технология называется веб-инжектом.
Основной код троянца размещен в зашифрованном файле и именно он реализует главные функции Trojan.Ormes.186 по встраиванию стороннего содержимого в интернет-страницы. В теле вредной программы содержится перечень, состоящий из порядка 200 адресов интернет-ресурсов, при обращении к которым Trojan.Ormes.186 делает веб-инжекты. Среди их — разные веб-сайты для поиска и размещения вакансий, также адреса фаворитных поисковых машин и общественных сетей.
В коде троянца предусмотрена особая функция, предположительно реализующая возможность автоматической эмуляции щелчка мышью на разных элементах веб-страниц с целью подтверждения подписок для абонентов мобильных операторов «Мегафон» и «Билайн». Кроме этого, при открытии в окне браузера веб-сайтов «Яндекс», Youtube, также общественных сетей «ВКонтакте», «Одноклассники» и Facebook Trojan.Ormes.186 загружает с удаленного веб-сайта и делает соответственный сценарий, который через цепочку редиректов перенаправляет жертву на веб-сайты разных файлообменных систем, использующих для монетизации платные подписки. В процессе работы с пользующимися популярностью поисковыми машинами троянец также встраивает в страницы с отображаемыми в итоге обработки запроса ссылками рекламные баннеры. В страницы социальной сети Facebook данная вредная программа вводит сокрытый элемент iframe (с целью установки внутренних переменных, нужных для работы троянца), по этому Trojan.Ormes.186 может автоматом устанавливать отметку «Like» («мне нравится») ряду сайтов из специального перечня.
Среди других способностей Trojan.Ormes.186 специалисты отмеяают функцию автоматического входа на веб-сайты онлайн-казино, перечень которых также имеется в теле вредной программы. Если веб-сайт содержит предложение об установке приложения для общественных сетей, троянец делает автоматическое перенаправление пользователя на страницу такового приложения. Отслеживая открытие схожих страниц, Trojan.Ormes.186 эмулирует щелчок мышью по ссылке, разрешающей установку, — в итоге приложение инсталлируется практически без участия пользователя.
В случае возникновения признаков активности троянца Trojan.Ormes.186, таких как заметное замедление работы браузера Firefox и возникновение на просматриваемых интернет-страницах подозрительной рекламы, специалисты компании «Доктор Веб» советуют пользователям выполнить сканирование устройства штатными средствами Антивируса Dr.Web, также проверить перечень установленных расширений браузера и удалить плагин с именем NetFilterPro и описанием «Additional security for safe browsing experience».
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
