Trojan.Triosir.708, или что такое троян

новоусманец

Сегодня словил этот троян у себя в комп. Вылечил банально, скачал лечащую утилиту Dr.Web CureIt! http://free.drweb.ru/cureit/
Признаки того, что комп был заражен:

1. сразу же после заставки окна виндоус флоппик начал скрежетать, чтобы что то загрузить
2. перед приветствием был черный экран и не появлялся курсор мышки

Сначала я восстановил виндус - не получилось. Затем войдя в безопасный режим через F8, появился рабочий стол. Комп заработал. Скачал эту утилиту, проверился и она нашла этот троян: Trojan.Triosir.708Троян замаскировался под одну программу, где вы можете увидеть на скриншоте:

Программа FilterStart.exe

Вот что написано про эти типы троянов!

Trojan.Triosir.1 — новый рекламный троян

Trojan.Triosir.1 - вредоносная программа, предназначенная для демонстрации в окне браузера навязчивой рекламы (часто вредоносной) и подмены содержимого веб-страниц. При этом рекламные объявления демонстрируются на популярных сайтах с высокой степенью доверия у пользователей.

Как и другие подобные вредоносные программы Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями, а для своей установки использует инсталлятор Amonetize (amonetize.com). Своим функционалом Trojan.Triosir.1 схож с возможностями Trojan.Zadved.1. При этом основным назначением Trojan.Triosir.1 остается подмена содержимого, просматриваемого пользователем веб-страниц посредством технологии веб-инжектов, а демонстрируемая им реклама включает ссылки на различные мошеннические ресурсы.

Интересно то, что основные модули трояна реализованы в виде плагинов (надстроек) к популярным браузерам. Так Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров

Mozilla Firefox;
Chrome;
Opera,

который остается в системе даже после удаления основного приложения.

Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Именно этот сценарий и предназначен для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы. При этом он начинает работать не сразу, а "выжидает" некоторое время, дабы усыпить бдительность пользователя. Еще в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, таких как "ВКонтакте", "Одноклассники" и др. Так же вредоносный скрипт наделен довольно продвинутым функционалом: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.

Если трояну Trojan.Triosir.1 не удается подменить рекламу на привилегированных сайтах, то тогда он меняет ее на веб-страницах, не входящих в этот список. Другими словами троян обладает специальной функцией распознавания "плохих" с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется.

Интересно, но Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу партнерских сетей от:

lcads.ru;
marketgid.com;
visitweb.com;
luxup.ru;
pcads.ru;
gredinatib.info;
fulldl.net;
adcash.com;
tbn.ru и некоторые другие.

Следующий набор правил трояна позволяет "прятать" некоторые элементы на сайтах:

my.mail.ru;
fotostrana.ru;
loveplanet.ru;
kinopoisk.ru;
mamba.ru;
go.mail.ru;
love.mail.ru;
auto.ru;
otvet.mail.ru;
sprashivai.ru;
avito.ru.

У меня в блоге >>

Я в сетях

Быстрый вход

Хэштеги Новой Усмани

Полезности