22 luglio 2015

Sta aumentando ogni giorno il numero di programmi malevoli, conosciuti dagli analisti dei virus, studiati per mostrare fastidiosa pubblicità agli utenti di Internet. A luglio 2015 gli specialisti Doctor Web hanno scoperto diversi tali trojan, uno dei quali, denominato il Trojan.Ormes.186, incorpora annunci attraverso la tecnologia web injection nelle pagine web visualizzate dalla vittima.

Il programma malevolo Trojan.Ormes.186 è un'estensione per il browser Mozilla Firefox, costituita da tre file scritti nel linguaggio JavaScript. Uno di questi file è cifrato ed è ideato per visualizzare vari generi di pubblicità, mentre gli altri due incorporano questo file nelle pagine web che vengono aperte nella finestra del browser direttamente sul computer della vittima: tale tecnologia si chiama web injection.

Il codice principale del trojan è situato nel file cifrato e realizza le funzioni principali del Trojan.Ormes.186 che consistono nell'incorporazione di contenuti estranei in pagine web visualizzate. Nel corpo del programma malevolo si trova una lista, costituita da circa 200 indirizzi di risorse Internet, e se l'utente accede a qualche risorsa dalla lista, il Trojan.Ormes.186 esegue il web injection. Tra queste risorse ci sono siti per la ricerca e la pubblicazione di offerte di lavoro, gli indirizzi di popolari motori di ricerca e di social network.

Nel codice del trojan è prevista un'apposita funzione che presumibilmente realizza l'emulazione del click con il mouse su vari elementi di pagine web, attraverso cui i malintenzionati possono confermare abbonamenti, effettuati di nascosto, presso gli operatori mobile Megafon e Beeline. Inoltre, quando l'utente apre nella finestra del browser i siti Yandex, Youtube e quelli dei social network VKontakte, Odnoklassniki e Facebook, il Trojan.Ormes.186 scarica da un nodo remoto ed esegue uno script che attraverso una catenella di redirect reindirizza la vittima sui siti di vari sistemi di file sharing che utilizzano abbonamenti a pagamento per la monetizzazione. Inoltre, quando l'utente utilizza i popolari motori di ricerca, il trojan incorpora banner pubblicitari nelle pagine dei risultati di una richiesta. Il programma malevolo incorpora nelle pagine di Facebook l'elemento nascosto iframe (per impostare le variabili interne necessarie per il funzionamento del trojan), grazie a cui il Trojan.Ormes.186 può impostare automaticamente un clic su "Mi piace" per i siti elencati nell'apposita lista.

Tra le altre possibilità del Trojan.Ormes.186 va segnalata la funzione che esegue accessi automatici sui siti di casinò online, di cui una lista anche si trova nel corpo del programma malevolo. Se un sito contiene un'offerta dell'installazione di un app per i social network, il trojan reindirizza l'utente automaticamente sulla pagina di tale applicazione. Monitorando l'apertura di tali pagine, il Trojan.Ormes.186 emula un click sul collegamento ipertestuale che accetta l'installazione — come risultato, l'applicazione viene installata de facto senza la partecipazione dell'utente.

Se avete notato dei segni dell'attività del trojan Trojan.Ormes.186, per esempio il rallentamento delle prestazioni del browser Firefox e la comparsa di annunci sospetti su pagine web visualizzate, gli specialisti Doctor Web vi consigliano di eseguire una scansione del dispositivo attraverso gli strumenti standard dell'Antivirus Dr.Web e di controllare la lista delle estensioni di browser installate e, se trovata, di eliminare quella con il nome NetFilterPro e con la descrizione "Additional security for safe browsing experience".