Една от най-разпространените заплахи в уеб пространството през април е бил зловредният код Trojan.Mods.1, известен по-рано като Trojan.Redirect.140, алармира Доктор Уеб.
По статистически данни на компанията за сигурност, събрани с помощната програма Dr.Web CureIt!, на този троянец се падат 3,07% от общия брой компютърни инфекции.
Trojan.Mods.1 се състои от два компонента: дропър и динамична библиотека, която съдържа основния зловреден код. При инсталиране на компютъра, дропърът създава свое копие в една от папките на твърдия диск и се самостартира. В Windows Vista, за да заобиколи системата за контрол на потребителските акаунти, дропърът може да се стартира във вид на обновление за Java, изисквайки от потребителя потвърждение за зареждане на приложението.
[related-posts]
След това дропърът съхранява на диска основната библиотека на троянеца, която се вгражда във всички процеси, пуснати на инфектирания компютър, и продължава да работи само в процесите на браузърите Internet Explorer, Firefox, Opera, Safari, Chrome и др. Конфигурационният файл с всички необходими за работата на Trojan.Mods.1 данни се съхранява в кодиран вид в библиотеката.
Основното предназначение на Trojan.Mods.1 е да подменя разглежданите от потребителите уеб сайтове със страници, контролирани от киберпрестъпници. За целта троянецът прихваща системните функции, отговорни за преобразуването на DNS имената на сайтовете в IP адреси. В резултат на това вместо към заявените интернет ресурси потребителят бива пренасочван към мошенически страници, където от него се иска да даде мобилния си телефон и да отговори на SMS съобщение, което начислява сума към сметката му.
В архитектурата на Trojan.Mods.1 е предвиден специален алгоритъм, с помощта на който може да се отключи пренасочването на браузъра към определена група адреси.
