Функцию «подмена выдачи» реализует множество вредоносных программ: установившись на компьютере жертвы, они отслеживают активность веб-браузеров, и при обращении пользователя к ресурсам поисковых систем вместо результатов поиска выдают пользователю ссылки на различные, в том числе мошеннические, сайты.
К указанной категории относятся и троянцы семейства Trojan.Hiloti, отдельные представители которого получили распространение еще в 2010 г. Появление новых модификаций Trojan.Hiloti специалисты связывают с организацией партнерской программы Podmena-2014, к которой злоумышленники пытаются привлечь распространителей вредоносного ПО.
Вирусописатели предлагают владельцам сайтов разместить на своих площадках специальный сценарий, который с определенным интервалом загружает с сервера злоумышленников исполняемый файл вредоносной программы Trojan.Hiloti. Вместе с установщиком самого троянца распространяется модуль руткита, позволяющий скрывать работу вредоносной программы в инфицированной операционной системе. С целью усложнить детектирование Trojan.Hiloti исполняемый файл троянца автоматически переупаковывается на сервере злоумышленников через определенные промежутки времени.
Загрузка троянца на компьютеры потенциальных жертв осуществляется с использованием ряда известных уязвимостей, а также методов социальной инженерии, передает "Компьютерное обозрение".
Злоумышленники предлагают распространителям достаточно простую схему работы: те способствуют установке Trojan.Hiloti на компьютеры пользователей, разместив определенный код на принадлежащих им интернет-ресурсах, после чего при попытке жертвы выполнить какой-либо запрос на поисковом сайте троянец будет демонстрировать в окне браузера оплаченные рекламодателями ссылки вместо ожидаемой поисковой выдачи. Распространители же получают процент от дохода, полученного злоумышленниками в рамках данной партнерской программы.
Чтобы избежать заражения вирусами данного семейства пользователям рекомендуется регулярно устанавливать обновления антивируса, операционной системы и прикладного ПО, а также не сохранять на диск и не запускать исполняемые файлы, загружаемые с подозрительных сайтов.
