Frankfurt, 22. Juli 2015

Die Zahl an böswilligen Programmen, die lästige Werbung anzeigen, wächst täglich. Im Juli 2015 haben die Sicherheitsspezialisten von Doctor Web mehrere Trojaner entdeckt. Einer davon ist Trojan.Ormes.186. Der Schädling ist in der Lage, unerwünschte Werbung in Webseiten zu integrieren.

Trojan.Ormes.186 ist eine Erweiterung für Mozilla Firefox, die aus drei JavaScript-Dateien besteht. Eine davon ist verschlüsselt und ist zum Anzeigen von Werbung gedacht. Die zwei anderen Dateien sind für die Einbettung dieser Werbung verantwortlich. Diese Technik wird als Webinjects-Methode bezeichnet.

Die verschlüsselte Datei enthält den Hauptcode von Trojan.Ormes.186 zum Einschleusen fremder Inhalte in anvisierte Webseiten. Der Schädling verfügt über eine Liste mit über 200 Internetadressen, auf die er zugreifen kann. Darunter sind auch Job-Webseiten, beliebte Suchmaschinen und soziale Netzwerke.

Der Trojaner ist in der Lage, Mausklicks auf Webseiten zu emulieren. So kann der Schädling kostenpflichtige Abos von Mobilfunkanbietern bestätigen. Beim Öffnen von Webseiten wie Yandex, VKontakte und Facebook lädt Trojan.Ormes.186 ein böswilliges Szenario von einer Webseite herunter und leitet Opfer zu Webseiten mit kostenpflichtigen Inhalten. Außerdem setzt der Schädling bei Suchtreffern lästige Werbebanner ein. Auf Facebook-Seiten bettet er u.a. ein verdecktes iframe-Element ein und kann eigenmächtig „Likes“ setzen.

Des Weiteren kann sich Trojan.Ormes.186 auf Online-Casino-Webseiten einloggen. Wenn eine Webseite anbietet, eine Applikation für soziale Netzwerke zu installieren, leitet der Trojaner den Benutzer automatisch weiter. Trojan.Ormes.186 verfolgt das Öffnen von solchen Webseiten und emuliert Mausklicks, durch die die Installation ohne Zustimmung des Benutzers freigegeben wird.

Wenn Sie Merkmale von Trojan.Ormes.186 wie Verlangsamung des Firefox-Browsers oder verdächtige Werbung festgestellt haben, empfehlen die Sicherheitsspezialisten von Doctor Web, Ihren Rechner mir Dr.Web Tools zu prüfen. Sollte in Ihrem Browser das Plug-in NetFilterPro mir der Beschreibung „Additional security for safe browsing experience“ installiert sein, entfernen Sie dieses bitte umgehend.