Компания «Доктор Веб» поделилась информацией о вредоносной программе Trojan.Ormes.186, которая появилась в Интернете в этом месяце.
Приложение представляет собой расширение для браузера Mozilla Firefox. Оно состоит из трёх файлов, написанных на языке JavaScript, сообщает 3dnews.ru.
Один файл зашифрован и запускает демонстрацию рекламы, а два других встраивают эту рекламу в содержимое веб-страницы. Такая технология называется веб-инжектом. Ещё в программе содержится список, состоящий более чем из двухсот адресов интернет-сайтов, при обращении к которым отображается встроенная реклама. В основном, в этом списке социальные сети, поисковые системы и сайты для поиска работы и размещения вакансий.
Также троян содержит функцию, реализующую возможность эмуляции автоматического щелчка мышью. Например, если сайт содержит предложение об установке приложения для социальной сети, вредоносная программа автоматически перенаправляет пользователя на страницу этого приложения, а затем устанавливает его. При открытии в браузере сайтов YouTube, «Яндекс», а также социальных сетей «Одноклассники», «Вконтакте» и Facebook, Trojan.Ormes.186 выполняет сценарий, который через цепочку редиректов перенаправляет пользователя на сайты файлообменных систем, использующих платную подписку. В страницы Facebook троянская программа внедряет скрытый элемент iframe, используя который она автоматически устанавливает отметку Like ряду веб-сайтов из специального списка.
Признаками заражения является медленная работа Firefox и появление подозрительной рекламы на просматриваемых веб-страницах. В этом случае рекомендуется проверить список расширений браузера и удалить плагин под названием NetFilterPro с описанием «Additional security for safe browsing experience». После этого рекомендуется запустить полную проверку компьютера на вирусы.