Trojan.Triosir.9 представляет собой плагин (надстройку) для браузеров, предназначенный для демонстрации пользователю назойливой рекламы в процессе просмотра веб-страниц. С мая 2014 года одним из каналов распространения данной угрозы является партнерская программа Installmonster. Разработчик данного приложения — компания Trioris.
Один из известных образцов Trojan.Triosir.9 распространяется под видом плагина VK User Spy, якобы предназначенного для скрытого просмотра личных сообщений пользователя в социальной сети «ВКонтакте». При этом данный плагин, судя по всему, разработан на основе легитимной надстройки VKSpy, злоумышленники даже не удалили из компонента \ldognehopalabhkhpeeedfdeeedfhchg\3.1_0\_locales\ru\messages.json имена разработчиков настоящего плагина:
{
"about": {
"message": "О приложении"
},
"about_ez": {
"message": "Евгений Зиновьев"
},
"about_ig": {
"message": "Иван Гусев"
},
"ago_hour_format": {
"message": "%s назад"
}В процессе инсталляции выполняется проверка системного реестра на предмет присутствия на ПК ранее установленных приложений компании Trioris, в том числе Get-Styles, desktopy.ru, screeny.ru и др. Если таковые обнаруживаются, Trojan.Triosir.9 в систему не устанавливается. В процессе установки троянец обращается к управляющему серверу, использует список ключевых слов и признаков для определения сайтов, на которых реклама не демонстрируется, а также список сайтов-исключений, где реклама демонстрируется в любом случае.
В код файла content.js из оригинального плагина VKSpy злоумышленники добавили строку, вызывающую сценарий stat.js, который, в свою очередь, загружает скрипт ursp.js. Этот скрипт загружает два дополнительных сценария, которые формируют рекламные блоки.
Троянец показывает рекламу поверх просматриваемого пользователем веб-сайта. Форма, в которой отображаются рекламные модули, даже располагает специальной кнопкой, позволяющей закрыть это окно, а также содержит едва заметную надпись Powered by VkUserSpy, при этом наименование продукта задается в скрипте ursp.js (в переменной window._rw_pr_n = "VkUserSpy" ) и далее используется другими скриптами.
