Rosyjska firma Doctor Web zajmująca się bezpieczeństwem opublikowała kwietniowy raport dotyczący zagrożeń w sieci. W zeszłym miesiącu najczęściej występującym zagrożeniem był Trojan.Mods.1, znany wcześniej jako Trojan.Redirect.140. Według danych zebranych za pomocą narzędzia Dr.Web CureIt!, trojan ten stanowił 3,07% ogólnej liczby zainfekowanych systemów.
Szkodnik Trojan.Mods.1 zbudowany jest z dwóch elementów: dynamicznej biblioteki, czyli modułu, w którym zawarte jest szkodliwe oprogramowanie oraz tzw. droppera, wykorzystywanego w procesie instalacji złośliwego oprogramowania na komputerze ofiary w taki sposób, aby nie zostało ono wykryte przez skanery antywirusowe. W bibliotece, w zaszyfrowanej postaci, przechowywany jest również plik konfiguracyjny, zawierający wszystkie dane niezbędne do pracy Trojan.Mods.1.
W systemie operacyjnym Microsoft Windows Vista dla obejścia systemu Kontroli Kont Użytkowników (ang. UAC), dropper może podszyć się pod aktualizację Java, wymagającą od użytkownika wyrażenia zgody na jej zainstalowanie.
Następnie dropper zapisuje na dysku osobną bibliotekę trojana, która jest wgrywana we wszystkie procesy uruchomione na zainfekowanym komputerze, ale kontynuuje działanie tylko w procesach przeglądarek Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandeks.Brauzer, Rambler Nichrom.
Trojan Trojan.Mods.1 został stworzony w celach zarobkowych. Jego działanie polega na tym, że klikając w dany wynik wyszukiwania w przeglądarce, użytkownik nie przechodzi na wybraną stronę, ale zostaje przekierowany na niechciany, należący do cyberprzestępców adres WWW. Dzieje się tak poprzez przechwycenie funkcji systemowych odpowiedzialnych za tłumaczenie nazw w systemie DNS na odpowiadające im adresy IP.
Za każdym razem przekierowanie na fałszywą stronę związane jest również z próbą wyłudzenia pieniędzy. W tym celu użytkownik może zostać na przykład poproszony o podanie telefonu komórkowego czy odpowiedzenie na smsa premium otrzymanego z numeru 4012.
W budowie Trojan.Mods.1 wykorzystany został specjalny algorytm, który pozwala wyłączyć funkcję przekierowania przeglądarki w przypadku konkretnej grupy adresów WWW.
Sygnatura nowego, złośliwego oprogramowania została dodana do antywirusowych baz danych Dr.Web, dlatego też Trojan.Mods.1 nie stanowi zagrożenia dla użytkowników oprogramowania Dr.Web.
Źródło: Doctor Web, inf. prasowa
