Le 10 février 2014

Doctor Web met en garde les utilisateurs contre la propagation de logiciels malveillants conçus pour afficher de la publicité dans le navigateur web et pour remplacer le contenu des sites web. Le danger principal de ces Trojans est qu'ils affichent les publicités sur des sites connus et beaucoup consultés. Parfois, ces bannières publicitaires redirigent les utilisateurs vers des sites frauduleux ou des sites qui distribuent des malwares. Le Trojan.Triosir.1 est l'une de ces menaces.

Il est distribué via le « programme partenaire » Installmonster avec d’autres applications et utilise pour son installation le logiciel Amonetize (amonetize.com). Les fonctionnalités du Trojan.Triosir.1 ressemblent aux fonctionnalités du Trojan.Zadved.1. La principale fonctionnalité du Trojan.Triosir.1 est le remplacement des bannières publicitaires en utilisant les technologies d’injection web lorsque l'utilisateur visite des pages web. Les modules du Trojan sont développés sous forme de plug-ins pour les navigateurs les plus utilisés. Il est notamment distribué avec une application destinée à créer des captures d'écran Screeny et installe un plug-in dans les navigateurs Mozilla Firefox, Chrome et Opera, qui demeurera dans le système, même après la suppression de l'application principale.

Les plug-ins installés téléchargent le fichier malveillant sur le serveur distant des malfaiteurs. C’est ce fichier qui remplace les bannières publicitaires sur les sites web, différant son action dans le temps pour passer inaperçu. Il peut également injecter de la publicité dans les pages de sites populaires, par exemple les réseaux sociaux " vkontakte " et " odnoklassniki ". Le script malveillant peut également recueillir les données sur le sexe et la date de naissance de l'utilisateur à partir de son profil dans le réseau social.

Ce Trojan affiche des liens vers des sites frauduleux, qui peuvent abonner l'utilisateur à des services payants s’il entre dans le champ approprié, son numéro de portable et le code de confirmation qu’il a reçu par SMS.

Le Trojan.Triosir.1 peut remplacer les publicités sur n’importe quel site. Néanmoins, il possède un filtre par mots clés qui lui permet de sélectionner les sites les plus consultés afin d’augmenter son « efficacité ». Une fois le site ciblé, le Trojan.Triosir.1 recherche les publicités et les remplace par les siennes ou celles de certains réseaux partenaires lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru, et d’autres. Le code malveillant du Trojan lui permet de masquer certains éléments sur les sites my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru et avito.ru.

Il y a des raisons de croire que la sosiété Trioris est responsable de la création et de la diffusion du Trojan. Cette société utilise le schéma suivant pour gagner de l'argent : recherche d’une application, négociation avec ses développeurs pour y ajouter les plug-ins et gestion de la diffusion, ou conclusion d’un contrat avec une autre société, par exemple, Amonetize, qui distribue le Trojan.Triosir.1 via le programme partenaire Installmonster.

La signature de ce malware a été ajoutée aux bases virales Dr.Web, c'est pourquoi le Trojan.Triosir.1 ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.