Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Scoperto un altro trojan che mostra pubblicità indesiderata

10 febbraio 2014

Gli specialisti di Doctor Web segnalano la recente comparsa di molteplici programmi malevoli che mostrano pubblicità nei browser e cambiano i contenuti delle pagine visualizzate dall'utente. Questi trojan sfruttano la fiducia degli utenti in alcuni popolari siti: così i malintenzionati alzano la chance di quello che l'utente faccia clic su un messaggio pubblicitario incorporato clandestinamente nei contenuti del sito visualizzato. I trojan spesso pubblicizzano siti fraudolenti e quelli da cui si diffondono programmi malevoli. Avvertiamo gli utenti della comparsa di un nuovo trojan di questo tipo che abbiamo chiamato Trojan.Triosir.1.

Il Trojan.Triosir.1 si diffonde tramite il partner program Installmonster e insieme alle altre applicazioni utilizza l'installer Amonetize (amonetize.com). Per quanto riguarda le funzioni, il Trojan.Triosir.1 è simile al Trojan.Zadved.1 di cui abbiamo parlato in un articolo pubblicato in precedenza. Il Trojan.Triosir.1 esegue il web injection per sostituire con le informazioni estranee i contenuti delle pagine web visualizzate dall'utente. La pubblicità mostrata dal trojan include link a siti fraudolenti. I moduli principali del malware sono realizzati come estensioni per browser. Il trojan penetra sui computer insieme ad alcune applicazioni modificate, ad esempio, Screeny, un programma per cattura schermate. Durante l'installazione di questo programma, viene installata anche l'estensione malevola Screeny per Mozilla Firefox, Chrome e Opera. L'estensione rimane nel sistema, anche se il programma Screeny viene rimosso.

screenshot

Le estensioni installate scaricano lo script malevolo del malware da un server remoto. Lo script malevolo aspetta qualche tempo prima di cominciare a svolgere le sue funzioni dannose per ingannare l'utente. Lo script include gli algoritmi che consentono di sostituire moduli di pubblicità su popolari siti, ad esempio, quelli dei social network "VKontakte" e "Odnoklassniki" ecc. Inoltre, lo script dispone di altre possibilità avanzate: ad esempio, può ottenere le informazioni riguardanti il sesso e l'età dell'utente dal suo profilo nei social network.

screenshot

screenshot

Tra i siti pubblicizzati dal trojan prevalgono i siti fraudolenti che abbonano l'utente a servizi a pagamento utilizzano il suo numero di cellulare e una conferma inviata dall'utente via SMS.

screenshot

Il Trojan.Triosir.1 può incorporare pubblicità in qualsiasi sito, non soltanto in quelli più visitati. Il malware può riconoscere un sito cattivo dal punto di vista degli inserzionisti utilizzando un filtro delle parole chiave, e in tale sito la pubblicità non viene incorporata. Inoltre, il Trojan.Triosir.1 sostituisce moduli di pubblicità sui siti di alcuni partner network, tra cui lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru e altri ancora. Il codice del trojan ha un set di regole le quali consentono di "far sparire" alcuni elementi sui siti my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru e avito.ru.

Possiamo ipotizzare che la compagnia Trioris di Novosibirsk abbia a che fare con la creazione e propagazione di questo trojan. Di solito, questa compagnia avvicina gli sviluppatori di qualche applicazione e si accorda con loro sull'aggiunzione di alcune estensioni. Quindi Trioris diffonde l'applicazione modificata o conclude un contratto di distribuzione con terzi, ad esempio con Amonetize che utilizza le possibilità del partner program Installmonster.

La firma antivirale Trojan.Triosir.1 è stata aggiunta ai database Dr.Web e quindi il malware non rappresenta alcun pericolo per gli utenti degli antivirus prodotti da Doctor Web.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A