Trojan.Mods.1 може да се стартира във вид на обновление за Java
Една от най-разпространените заплахи в уеб пространството през април е бил зловредният код Trojan.Mods.1, известен по-рано като Trojan.Redirect.140, алармира Доктор Уеб.
По статистически данни на компанията за сигурност, събрани с помощната програма Dr.Web CureIt!, на този троянец се падат 3,07% от общия брой компютърни инфекции.
Trojan.Mods.1 се състои от два компонента: дропър и динамична библиотека, която съдържа основния зловреден код. При инсталиране на компютъра, дропърът създава свое копие в една от папките на твърдия диск и се самостартира. В Windows Vista, за да заобиколи системата за контрол на потребителските акаунти, дропърът може да се стартира във вид на обновление за Java, изисквайки от потребителя потвърждение за зареждане на приложението.
След това дропърът съхранява на диска основната библиотека на троянеца, която се вгражда във всички процеси, пуснати на инфектирания компютър, и продължава да работи само в процесите на браузърите Internet Explorer, Firefox, Opera, Safari, Chrome и др. Конфигурационният файл с всички необходими за работата на Trojan.Mods.1 данни се съхранява в кодиран вид в библиотеката.
Основното предназначение на Trojan.Mods.1 е да подменя разглежданите от потребителите уеб сайтове със страници, контролирани от киберпрестъпници. За целта троянецът прихваща системните функции, отговорни за преобразуването на DNS имената на сайтовете в IP адреси. В резултат на това вместо към заявените интернет ресурси потребителят бива пренасочван към мошенически страници, където от него се иска да даде мобилния си телефон и да отговори на SMS съобщение, което начислява сума към сметката му.
В архитектурата на Trojan.Mods.1 е предвиден специален алгоритъм, с помощта на който може да се отключи пренасочването на браузъра към определена група адреси.