Trojan.Mods.1 - троян, подменяющий веб-страницы


Trojan.Mods.1 (Trojan.Redirect.140) - троян, подменяющий просматриваемые пользователем сайты на веб-страницы, принадлежащие злоумышленникам. Подмена происходит путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса.

Согласно данным, собранным с использованием лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения трояна Trojan.Mods.1 составило 3,07% от общего числа выявленных заражений.

Троян состоит из дроппера и динамической библиотеки, в которой содержится основная вредоносная нагрузка. При установки на компьютер, дроппер создает собственную копию в одной из папок на жестком диске, после чего запускает себя на исполнение. В операционной системе Microsoft Windows Vista для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.

User Account Control

Затем дроппер сохраняет на диск основную библиотеку трояна, встраивая ее во все запущенные на инфицированном ПК процессы, однако продолжает работу только в процессах следующих браузеров:

  • Microsoft Internet Explorer;
  • Mozilla Firefox;
  • Opera;
  • Safari;
  • Google Chrome;
  • Chromium;
  • Mail.Ru Интернет;
  • Яндекс.Браузер;
  • Рамблер Нихром.


Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 данные, хранится в зашифрованном виде в библиотеке.

В результате деятельности трояна, вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его просят указать номер мобильного телефона, а также ответить на присланное с короткого номера 4012 СМС-сообщение. Если пользователь согласился на условия злоумышленников, то с их счета списывается определенная сумма.

Yandex oi

Также в архитектуре Trojan.Mods.1 предусмотрен специальный алгоритм, с помощью которого можно отключить перенаправление браузера на определенную группу адресов.