Trojan.Triosir.1 — новый рекламный троян


Trojan.Triosir.1 - вредоносная программа, предназначенная для демонстрации в окне браузера навязчивой рекламы (часто вредоносной) и подмены содержимого веб-страниц. При этом рекламные объявления демонстрируются на популярных сайтах с высокой степенью доверия у пользователей.

Как и другие подобные вредоносные программы Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями, а для своей установки использует инсталлятор Amonetize (amonetize.com). Своим функционалом Trojan.Triosir.1 схож с возможностями Trojan.Zadved.1. При этом основным назначением Trojan.Triosir.1 остается подмена содержимого, просматриваемого пользователем веб-страниц посредством технологии веб-инжектов, а демонстрируемая им реклама включает ссылки на различные мошеннические ресурсы.

Интересно то, что основные модули трояна реализованы в виде плагинов (надстроек) к популярным браузерам. Так Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров

  • Mozilla Firefox;
  • Chrome;
  • Opera,

который остается в системе даже после удаления основного приложения.

Trojan triosir v rasshirenii Screeny dlya brauzerov

Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Именно этот сценарий и предназначен для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы. При этом он начинает работать не сразу, а "выжидает" некоторое время, дабы усыпить бдительность пользователя. Еще в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, таких как "ВКонтакте", "Одноклассники" и др. Так же вредоносный скрипт наделен довольно продвинутым функционалом: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.

Vnedrenie triosir reklami v socseti Triosir Vam soobshenie

Среди рекламируемых трояном ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги. Подписка происходит путем отправки на указанный им номер мобильного телефона СМС-сообщения с кодом подтверждения.

Triosir kod podtverjdeniya

Если трояну Trojan.Triosir.1 не удается подменить рекламу на привилегированных сайтах, то тогда он меняет ее на веб-страницах, не входящих в этот список. Другими словами троян обладает специальной функцией распознавания "плохих" с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется.

Интересно, но Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу партнерских сетей от:

  • lcads.ru;
  • marketgid.com;
  • visitweb.com;
  • luxup.ru;
  • pcads.ru;
  • gredinatib.info;
  • fulldl.net;
  • adcash.com;
  • tbn.ru и некоторые другие.


Следующий набор правил трояна позволяет "прятать" некоторые элементы на сайтах:

  • my.mail.ru;
  • fotostrana.ru;
  • loveplanet.ru;
  • kinopoisk.ru;
  • mamba.ru;
  • go.mail.ru;
  • love.mail.ru;
  • auto.ru;
  • otvet.mail.ru;
  • sprashivai.ru;
  • avito.ru.