22 de julio de 2015

El número de programas nocivos conocidos para los analistas de virus y destinados para visualizar a los usuarios de Internet la publicidad inoportuna crece cada día. En julio de 2015 los expertos de la empresa Doctor Web detectaron varios troyanos similares, uno de los cuales, llamado Trojan.Ormes.186, incrusta la publicidad en las páginas web consultadas por la víctima usando la tecnología de webinjects.

El programa nocivo Trojan.Ormes.186 es una extensión para el navegador Mozilla Firefox que consiste en tres archivos creados en el lenguaje JavaScript. Uno de estos archivos está cifrado y sirve para visualizar la publicidad de varios tipos, y los dos otros lo incrustan en las páginas web que se abren en la ventana del navegador directamente en el equipo de la víctima: esta tecnología se llama webinjects.

El código básico del troyano está en el archivo cifrado y realiza las funciones básicas de Trojan.Ormes.186 de incrustar el contenido de terceros en las páginas web. En el cuerpo del programa nocivo hay un listado que contiene unas 200 direcciones de recursos de Internet, al consultar los cuales Trojan.Ormes.186 realiza los webinjects. Entre ellos — varios sitios web para buscar y publicar ofertas de trabajo, así como las direcciones de sistemas de búsqueda más usados y redes sociales.

En el código del troyano está prevista una función especial que supuestamente realiza la posibilidad de emulación automática de un clic del ratón sobre varios elementos de las páginas web para confirmar las suscripciones para abonados de operadores móviles Megafon y Beeline. Además, al abrir en la ventana del navegador los sitios web Yandex, Youtube, así como las redes sociales «VKontakte», «Odnoklassniki» y Facebook, Trojan.Ormes.186 descarga del sitio web remoto y ejecuta un escenario correspondiente que por una cadena de redirecciones redirige a la víctima a los sitios web de varios sistemas de intercambio de archivos que usa las suscripciones de pago para la monetización. Durante el trabajo con los sistemas de búsqueda populares, el troyano también incrusta los banners de publicidad en las páginas con los enlaces visualizados como resultado de procesamiento de la solicitud. En las páginas de la red social Facebook este programa nocivo implementa un elemento oculto iframe (para establecer las variables internas necesarias para el funcionamiento del troyano), y por lo tanto Trojan.Ormes.186 puede marcar automáticamente «Like» («me gusta») para algunos sitios web del listado especial.

Entre otras posibilidades de Trojan.Ormes.186 , hay que destacar la función de entrada automática en los sitios web de casinos en línea cuyo listado también está en el cuerpo del programa nocivo. Si el sitio web contiene una oferta sobre la instalación de la aplicación para las redes sociales, el troyano redirige automáticamente al usuario a la página de esta aplicación. Supervisando la consulta de páginas similares, Trojan.Ormes.186 emula un clic del ratón sobre el enlace que permite la instalación — como resultado, la aplicación se instala casi sin participación del usuario.

En caso de actividad del troyano Trojan.Ormes.186 caracterizada por el funcionamiento más lento del navegador Firefox y aparición en las páginas web visualizadas de la publicidad sospechosa, los expertos de la empresa Doctor Web recomiendan a los usuarios escanear el dispositivo por los medios ordinarios del Antivirus Dr.Web, así como comprobar el listado de extensiones del navegador instaladas y borrar el complemento llamado NetFilterPro con descripción «Additional security for safe browsing experience».