Троян встраивает рекламу в веб-страницы с применением технологии веб-инжектов

Интернет Безопасность Пользователю
мобильная версия
, Текст: Татьяна Короткова

В июле 2015 г. специалисты компании «Доктор Веб» обнаружили несколько вредоносных программ, предназначенных для демонстрации пользователям интернета назойливой рекламы. Как сообщили CNews в «Доктор Веб», одна из них получила наименование Trojan.Ormes.186. Троян встраивает рекламу в просматриваемые жертвой веб-страницы с использованием технологии веб-инжектов (Web-injects).

Вредоносная программа Trojan.Ormes.186 представляет собой расширение для браузера Mozilla Firefox, состоящее из трех файлов, написанных на языке JavaScript. Один из этих файлов зашифрован и предназначен для демонстрации различного рода рекламы, а два других встраивают его в открываемые в окне браузера веб-страницы непосредственно на компьютере жертвы: подобная технология называется веб-инжектом.

Основной код трояна расположен в зашифрованном файле и именно он реализует основные функции Trojan.Ormes.186 по встраиванию постороннего содержимого в веб-страницы. В теле вредоносной программы содержится список, состоящий из порядка 200 адресов интернет-ресурсов, при обращении к которым Trojan.Ormes.186 выполняет веб-инжекты. Среди них — различные сайты для поиска и размещения вакансий, а также адреса поисковых систем и социальных сетей, рассказали в компании.

В коде трояна предусмотрена специальная функция, предположительно реализующая возможность автоматической эмуляции щелчка мышью на различных элементах веб-страниц с целью подтверждения подписок для абонентов мобильных операторов «Мегафон» и «Билайн». Кроме того, при открытии в окне браузера сайтов «Яндекс», Youtube, а также социальных сетей «ВКонтакте», «Одноклассники» и Facebook Trojan.Ormes.186 загружает с удаленного сайта и выполняет соответствующий сценарий, который через цепочку редиректов перенаправляет жертву на сайты различных файлообменных систем, использующих для монетизации платные подписки. В процессе работы с популярными поисковыми системами троян также встраивает в страницы с отображаемыми в результате обработки запроса ссылками рекламные баннеры. В страницы социальной сети Facebook данная вредоносная программа внедряет скрытый элемент iframe (с целью установки внутренних переменных, необходимых для работы трояна), благодаря чему Trojan.Ormes.186 может автоматически устанавливать отметку «Like» («мне нравится») ряду веб-сайтов из специального списка.

Среди других возможностей Trojan.Ormes.186 в «Доктор Веб» отметили функцию автоматического входа на сайты онлайн-казино, список которых также имеется в теле вредоносной программы. Если сайт содержит предложение об установке приложения для социальных сетей, троян выполняет автоматическое перенаправление пользователя на страницу такого приложения. Отслеживая открытие подобных страниц, Trojan.Ormes.186 эмулирует щелчок мышью по ссылке, разрешающей установку. В результате приложение инсталлируется фактически без участия пользователя.

В случае появления признаков активности трояна Trojan.Ormes.186, таких как заметное замедление работы браузера Firefox и появление на просматриваемых веб-страницах подозрительной рекламы, специалисты «Доктор Веб» рекомендуют пользователям выполнить сканирование устройства штатными средствами «Антивируса Dr.Web», а также проверить список установленных расширений браузера и удалить плагин с именем NetFilterPro и описанием «Additional security for safe browsing experience».