Распространение вредоносных программ, специально созданных для демонстрации в окне браузера назойливой рекламы при просмотре пользователем веб-страниц, — один из наиболее популярных методов заработка среди компьютерных злоумышленников. В феврале 2014 года компания «Доктор Веб» сообщала о распространении рекламного троянца Trojan.Triosir.1, предназначенного для подмены содержимого просматриваемых пользователем сайтов посредством технологии веб-инжектов. Теперь она рассказала о еще одном представителе данного семейства вредоносных программ.
Некоторое время назад специалисты компании «Доктор Веб» наткнулись на сайт vkuserspy.net, распространявший рекламного троянца под видом программы VK User Spy, якобы предназначенной для просмотра адресованных пользователю социальной сети «ВКонтакте» личных сообщений таким образом, чтобы они не отмечались в качестве прочитанных. Любопытно, что плагин для браузера со схожим названием и назначением — VKSpy — действительно существует в природе, злоумышленники лишь значительно сократили его функциональные возможности, добавив в надстройку собственную вредоносную функциональность, однако даже не удосужились удалить из кода приложения имена авторов настоящего плагина. Вот как выглядит созданная злоумышленниками для продвижения своей поделки веб-страница (слева) в сравнении со страницей настоящего плагина VKSpy (справа):
Проведенное вирусными аналитиками исследование показало, что начиная как минимум с мая 2014 года данное браузерное расширение, получившее наименование Trojan.Triosir.9, распространялось посредством хорошо знакомой специалистам по информационной безопасности партнерской программы Installmonster, замеченной в раздаче пользователям большого количества других вредоносных программ, в частности, Trojan.Triosir.1. При этом данная угроза была разработана, судя по всему, новосибирской компанией Trioris. Программа-установщик Installmonster не инсталлирует Trojan.Triosir.9 на компьютер жертвы, если обнаруживает в системе признаки присутствия других приложений от Trioris. В составе троянца имеется специальный список сайтов и признаков, на основании которых Trojan.Triosir.9 не демонстрирует рекламу на определенных интернет-ресурсах, и перечень сайтов-исключений, где реклама, наоборот, показывается принудительно. Механизм выбора сайтов для демонстрации рекламы совпадает с его реализацией в Trojan.Triosir.1. Но, в отличие от предыдущей версии, новая реализация рекламного троянца не встраивает постороннее содержимое непосредственно в веб-страницы, заменяя существующие модули, а показывает ее поверх просматриваемого пользователем веб-сайта. Форма, в которой отображаются рекламные модули, даже располагает специальной кнопкой, позволяющей закрыть это окно, а также содержит едва заметную надпись Powered by VkUserSpy.
Источник новости: Доктор Веб