Groźny trojan przekierowuje na niebezpieczne strony

Groźny trojan przekierowuje na niebezpieczne strony

Trojan.Mods.1

zbudowany jest z dwóch elementów: dynamicznej biblioteki, czyli modułu, w którym zawarte jest szkodliwe oprogramowanie oraz tzw. droppera, wykorzystywanego w procesie instalacji złośliwego oprogramowania na komputerze ofiary w taki sposób, aby nie zostało ono wykryte przez skanery antywirusowe. W bibliotece, w zaszyfrowanej postaci, przechowywany jest również plik konfiguracyjny, zawierający wszystkie dane niezbędne do pracy Trojan.Mods.1.

W systemie operacyjnym Microsoft Windows Vista dla obejścia systemu Kontroli Kont Użytkowników (ang. UAC), dropper może podszyć się pod aktualizację Java, wymagającą od użytkownika wyrażenia zgody na jej zainstalowanie.

Następnie dropper zapisuje na dysku osobną bibliotekę trojana, która jest wgrywana we wszystkie procesy uruchomione na zainfekowanym komputerze, ale kontynuuje działanie tylko w procesach przeglądarek Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandeks.Brauzer, Rambler Nichrom.

Trojan Trojan.Mods.1 został stworzony w celach zarobkowych. Jego działanie polega na tym, że klikając w któryś z wyników wyszukiwania w przeglądarce, użytkownik nie przechodzi na wybraną stronę, ale zostaje przekierowany na niechciany, należący do cyberprzestępców adres www. Dzieje się tak poprzez przechwycenie funkcji systemowych odpowiedzialnych za tłumaczenie nazw w systemie DNS na odpowiadające im adresy IP. Za każdym razem przekierowanie na fałszywą stronę związane jest również z próbą wyłudzenia pieniędzy. W tym celu użytkownik może zostać na przykład poproszony o podanie telefonu komórkowego czy odpowiedzenie na smsa premium otrzymanego z numeru 4012.