Компания «Доктор Веб» в конце июля обнаружила вредоносную программу, предназначенную для накрутки посещаемости веб-сайтов или количества щелчков мышью по различным рекламным баннерам втайне от пользователя. Троянская программа получила наименование Trojan.Click3.9243.
Как отметили в компании, данная разновидность компьютерно-преступного промысла на жаргоне злоумышленников называется «кликфрод». Целью злоумышленников обычно является увеличение прибыли в партнерских программах, оплачивающих переходы пользователей по рекламным ссылкам. Также нередко владельцы коммерческих интернет-ресурсов специально «накликивают» объявления своих конкурентов для того, чтобы увеличить их рекламные расходы. Достигается это с использованием специальных автоматизированных программ, которые чаще всего устанавливаются на компьютер жертвы без ее ведома. Trojan.Click3.9243 как раз является представителем данного класса программ.
Троян распространяется в рамках хорошо знакомой специалистам по информационной безопасности партнерской программы Installmonster (также известной как Zipmonster), уже неоднократно замеченной в связях с вирусописателями. Зловред выдает себя за браузер под названием Ad Expert Browser, правда, пользователю не объясняется, зачем он нужен, и какие преимущества он дает. В лицензионном соглашении к этому приложению сказано, что Ad Expert Browser может иногда показывать пользователю рекламу в процессе просмотра веб-страниц, однако на практике это крайне маловероятно: истинное предназначение Trojan.Click3.9243 кроется совершенно в другом. Запустившись на инфицированном компьютере, троян создает скрытый рабочий стол Windows, на котором стартует несколько процессов — с их помощью Trojan.Click3.9243 открывает различные веб-страницы и начинает щелкать по рекламным баннерам. При этом троян пытается имитировать действия живого человека: он прокручивает веб-страницы, эмулирует движения курсора мыши, «просматривает» видеоролики с использованием встроенных кодеков, предварительно отключив в своем приложении звук, чтобы случайно не потревожить пользователя.
В процессе своей работы зловред отправляет на сервер злоумышленников перечень запущенных на инфицированном ПК процессов и сведения о нагрузке на процессор компьютера. Проанализировав цифровую подпись этой вредоносной программы, вирусные аналитики пришли к выводу, что к ее созданию могут быть причастны разработчики трояна Trojan.Zadved.1, о распространении которого компания «Доктор Веб» сообщала в декабре 2013 г.
Специалисты «Доктор Веб» призывают владельцев персональных компьютеров в целях безопасности не устанавливать программы, загруженные с сомнительных сайтов, а также обязательно использовать антивирусное ПО.