Спецы компании "Доктор Web" изучили одну из часто видящихся в апреле две тысячи тринадцать года угроз, троянца Trojan.Mods.1, ранее известного под наименованием Trojan.Redirect.140. Согласно статистике, собранным с внедрением лечащей утилиты Dr.Web CureIt!, количество случаев обнаружения этого троянца составило 3,07% от общего числа распознанных заражений.Как поведали в компании, троянец складывается из 2-ух компонент: дроппера и динамической библиотеки, в какой и содержится главная вредная нагрузка. В ходе установки на компьютер жертвы дроппер делает собственную копию в одной из папок на твёрдом диске и запускает себя на исполнение. В ОС Микрософт Windows Vista для обхода совокупности контроля учетных записей юзеров (User Accounts Control, UAC) дроппер может запуститься под видом обновления Java, потребовав у пользователя подтверждения загрузки приложения.Позднее дроппер сохраняет на диск главную библиотеку троянца, которая встраивается во все запущенные на инфицированном ПК процессы, но продолжает работу лишь в процессах браузеров MSIE, Мозилла Firefox, Opera, Safari, Гугл Chrome, Chromium, Mail.Ru Интернет, Yandex.Браузер, Rambler Нихром.
Конфигурационный файл, содержащий все необходимые для работы Trojan.Mods.1 эти, хранится в зашифрованном виде в библиотеке.Главное функциональное назначение Trojan.Mods.1 – подмена просматриваемых пользователем сайтов принадлежащими злодеям веб-страницами методом перехвата системных функций, несущих ответственность за трансляцию DNS-имен сайтов в Ip-адреса.
В конечном счете деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы, где его требуют указать номер сотового телефона, также ответить на отправленное с маленького номера четыре тысячи двенадцать СМС-сообщение.
В случае если жертва идет на предлогу у мошенников, то с ее счета списывается определенная сумма.В архитектуре Trojan.Mods.1 предусмотрен особый метод, благодаря которому возможно отключить перенаправление браузера на определенную группу адресов.