У липні 2015 року вірусні аналітики виявили шкідливу програму Trojan.Ormes.186, яка вбудовує рекламу у веб-сторінки, які переглядають користувачі.
Як повідомляється на сайті компанії "Доктор Веб", шкідлива програма Trojan.Ormes.186 являє собою розширення для браузера Mozilla Firefox, що складається з трьох файлів, написаних на мові JavaScript.
Один з цих файлів зашифрований і призначений для демонстрації різного роду реклами, а два інших вбудовують його у вікні браузера веб-сторінки безпосередньо на комп'ютері жертви: подібна технологія називається веб-инжектом.
Основний код троянця розташований у зашифрованому файлі, і саме він реалізує основні функції Trojan.Ormes.186 по впровадженню стороннього вмісту у веб-сторінки. У тілі шкідливої програми міститься список, що складається з близько 200 адрес інтернет-ресурсів, при зверненні до яких Trojan.Ormes.186 виконує веб-інжект.
Серед них - різні сайти для пошуку і розміщенню вакансій, а також адреси популярних пошукових систем і соціальних мереж.
Крім того, при відкритті у браузері сайтів "Яндекс", Youtube, а також соціальних мереж "ВКонтакте", "Однокласники" та Facebook, Trojan.Ormes.186 завантажує з віддаленого сайту і виконує відповідний сценарій, який через ланцюжок редиректів перенаправляє жертву на сайти різних файлообмінних систем, що використовують для монетизації платні підписки.
У процесі роботи з популярними пошуковими системами троянець також вбудовує у сторінки рекламні банери. У сторінки в соціальній мережі Facebook дана шкідлива програма впроваджує прихований елемент iframe (з метою встановлення внутрішніх змінних, необхідних для роботи трояна), завдяки чому Trojan.Ormes.186 може автоматично встановлювати позначку "Like" ("мені подобається") ряду веб-сайтів із спеціального списку.
Серед інших можливостей Trojan.Ormes.186 слід відзначити функцію автоматичного входу на сайти онлайн-казино, список яких також є в тілі шкідливої програми. Якщо сайт містить пропозицію про встановлення програми для соціальних мереж, троянець виконує автоматичне перенаправлення користувача на сторінку такого додатка. Відстежуючи відкриття подібних сторінок, Worm.Ormes.186 емулює клацання мишею по посиланню, що дозволяє установку, - в результаті програма інсталюється фактично без участі користувача.
У разі появи ознак активності троянця Trojan.Ormes.186, таких як помітне уповільнення роботи браузера Firefox і поява на веб-сторінках підозрілої реклами, експерти рекомендують користувачам виконати сканування антивірусними програмами, а також перевірити список встановлених розширень браузера і видалити плагін з ім'ям NetFilterPro і описом "Additional security for safe browsing experience".
Раніше повідомлялося, що новий вірус-спам "розгулявся" в соціальній мережі Facebook. "Працює" він наступним чином: від користувачів, які знаходяться у списку ваших друзів, приходить повідомлення з посиланням на відео. Якщо клікнути на посилання, то вона відсилає вас до неіснуючої сторінці в інтернеті. Після такого кліка вже від вашого аккаунта почнеться вірусна розсилка.