7 травня 2013 року
Фахівці компанії «Доктор Веб» - російського розробника засобів захисту інформації - вивчили одну з найпоширеніших в квітня 2013 року загроз, троянця Trojan.Mods.1 , Раніше відомого під найменуванням Trojan.Redirect.140 . Згідно зі статистичними даними, зібраними з використанням лечащей утиліти Dr.Web CureIt !, кількість випадків виявлення цього троянця склало 3,07% від загального числа виявлених заражень. Нижче подано короткі результати проведеного дослідження.
Троянець складається з двох компонентів: Дроппер і динамічної бібліотеки, в якій і міститься основна шкідлива навантаження. В процесі установки на комп'ютер жертви дроппер створює власну копію в одній з папок на жорсткому диску і запускає себе на виконання. В операційній системі Microsoft Windows Vista для обходу системи контролю облікових записів користувачів (User Accounts Control, UAC) дроппер може запуститися під виглядом поновлення Java, зажадавши у користувача підтвердження завантажити програму.
Потім дроппер зберігає на диск основну бібліотеку троянця, яка вбудовується в усі запущені на інфікованому ПК процеси, однак продовжує роботу тільки в процесах браузерів Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Інтернет, яндекс.браузер , Рамблер Ніхром. Конфігураційний файл, який містить всі необхідні для роботи Trojan.Mods.1 дані, зберігається в зашифрованому вигляді в бібліотеці.
Основне функціональне призначення Trojan.Mods.1 - підміна переглядаються користувачем сайтів належать зловмисникам веб-сторінками шляхом перехоплення системних функцій, що відповідають за трансляцію DNS-імен сайтів в IP-адреси. В результаті діяльності троянця замість запитуваних інтернет-ресурсів користувач перенаправляється на шахрайські сторінки, де його просять вказати номер мобільного телефону, а також відповісти на надіслане з короткого номера 4012 СМС-повідомлення. Якщо жертва йде на поводу у шахраїв, то з її рахунку списується певна сума.
В архітектурі Trojan.Mods.1 передбачений спеціальний алгоритм, за допомогою якого можна відключити перенаправлення браузера на певну групу адрес.
Сигнатура даної шкідливої програми додана в вірусні бази Dr.Web, і тому Trojan.Mods.1 не становить загрози для користувачів програмних продуктів «Доктор Веб».
