Trojan.BrowseBan.480 блокирует доступ на веб-сайты


Trojan.BrowseBan.480 - вредоносная программа, блокирующая доступ на некоторые веб-сайты, мошенническим путем вынуждая пользователя оформить платную подписку на различные услуги.

При запуске троян Trojan.BrowseBan.480 проверяет, какие браузеры установлены на компьютере пользователя, а затем сохраняет на диск модули с вредоносным функционалом. Для браузера Microsoft Internet Explorer модуль реализован в виде файла динамической библиотеки, для Mozilla Firefox, Opera и Google Chrome — специального плагина, для функционирования которого троян изменяет пользовательские настройки программы.

При попытке открытия определенных сайтов в окне браузера троян модифицирует отображаемую веб-страницу, и на экране компьютера демонстрируется окно с предложением пользователю ввести номер мобильного телефона, а затем — код, полученный в ответном СМС-сообщении. Таким образом, жертва соглашается с условиями подписки, согласно которым со счета ее мобильного телефона регулярно будет списываться определенная сумма.

Anti-Spam proverka

Для осуществления подписки Trojan.BrowseBan.480 использует официальные сервисы мобильных операторов "МТС" (moipodpiski.ssl.mts.ru) и "Билайн" (signup.beeline.ru), однако вредоносный скрипт скрывает "лишнюю" информацию, вследствие чего жертва видит лишь диалоговое окно, содержащее форму для ввода номера мобильного телефона.

Страница оформления подписки, демонстрируемая оператором мобильной связи

Stranica oformleniya podpiski demonstriruemaya operatorom mob svyazi

Страница, которую видит пользователь компьютера, инфицированного Trojan.BrowseBan.480

Stranica oformleniya podpiski Trojan.BrowseBan

Злоумышленники не поленились разработать уникальный дизайн окна для различных сайтов, которые может посетить жертва. Среди них — страницы социальных сетей:

  • "ВКонтакте";
  • "Одноклассники";
  • "Мой мир";
  • Facebook,

популярные поисковые системы, почтовые службы:

  • "Яндекс.Почта"
  • Gmail;
  • Mail.ru,

а также другие популярные ресурсы.


Подписку осуществляет контент-провайдер ООО "Пластик Медиа", а оплата взимается якобы за доступ к службе анонимайзера http://4anonimz.ru. Однако, из-за того, что троян скрывает подробную информацию о подписке, жертва об этом даже не догадывается.