В июле 2015 года вирусные аналитики обнаружили вредоносную программу Trojan.Ormes.186, которая встраивает рекламу в просматриваемые пользователями веб-страницы.
Как сообщается на сайте компании "Доктор Веб", вредоносная программа Trojan.Ormes.186 представляет собой расширение для браузера Mozilla Firefox, состоящее из трех файлов, написанных на языке JavaScript.
Один из этих файлов зашифрован и предназначен для демонстрации различного рода рекламы, а два других встраивают его в открываемые в окне браузера веб-страницы непосредственно на компьютере жертвы: подобная технология называется веб-инжектом.
Основной код троянца расположен в зашифрованном файле, и именно он реализует основные функции Trojan.Ormes.186 по встраиванию постороннего содержимого в веб-страницы. В теле вредоносной программы содержится список, состоящий из порядка 200 адресов интернет-ресурсов, при обращении к которым Trojan.Ormes.186 выполняет веб-инжекты.
Среди них - различные сайты для поиска и размещения вакансий, а также адреса популярных поисковых систем и социальных сетей.
Кроме того, при открытии в окне браузера сайтов "Яндекс", Youtube, а также социальных сетей "ВКонтакте", "Одноклассники" и Facebook Trojan.Ormes.186 загружает с удаленного сайта и выполняет соответствующий сценарий, который через цепочку редиректов перенаправляет жертву на сайты различных файлообменных систем, использующих для монетизации платные подписки.
В процессе работы с популярными поисковыми системами троянец также встраивает в страницы с отображаемыми в результате обработки запроса ссылками рекламные баннеры. В страницы социальной сети Facebook данная вредоносная программа внедряет скрытый элемент iframe (с целью установки внутренних переменных, необходимых для работы троянца), благодаря чему Trojan.Ormes.186 может автоматически устанавливать отметку "Like" ("мне нравится") ряду веб-сайтов из специального списка.
Среди других возможностей Trojan.Ormes.186 следует отметить функцию автоматического входа на сайты онлайн-казино, список которых также имеется в теле вредоносной программы. Если сайт содержит предложение об установке приложения для социальных сетей, троянец выполняет автоматическое перенаправление пользователя на страницу такого приложения. Отслеживая открытие подобных страниц, Trojan.Ormes.186 эмулирует щелчок мышью по ссылке, разрешающей установку, - в результате приложение инсталлируется фактически без участия пользователя.
В случае появления признаков активности троянца Trojan.Ormes.186, таких как заметное замедление работы браузера Firefox и появление на просматриваемых веб-страницах подозрительной рекламы, эксперты рекомендуют пользователям выполнить сканирование антивирусными программами, а также проверить список установленных расширений браузера и удалить плагин с именем NetFilterPro и описанием "Additional security for safe browsing experience".
Ранее сообщалось, что новый вирус-спам "разгулялся" в социальной сети Facebook. "Работает" он следующим образом: от пользователей, которые состоят в ваших друзьях, приходит сообщение со ссылкой на видео. Если кликнуть на ссылку, то она отсылает вас к несуществующей странице в интернете. После такого клика уже от вашего аккаунта начнется вирусная рассылка.