Троянец-кликер распространяется под видом браузера Современные киберпреступники не брезгуют никакими способами заработка в сети: в ход идет и обычное мошенничество, и распространение троянцев, и хищение конфиденциальной информации, которая впоследствии может быть использована в различных криминальных схемах. Несколько особняком в этом ряду стоит 1 из разновидностей компьютерно-преступного промысла, называемая на жаргоне злоумышленников «кликфродом». Здесь кибепреступники также не обходятся без помощи специальных вредоносных программ, 1 из которых получила название Trojan.Click3.9243.

Несмотря на сходное звучание, слово «кликфрод» не имеет ни малейшего отношения к популярному персонажу фантастического романа Дж.Р.Р. Толкина: за этим термином скрывается накрутка посещаемости веб-сайтов или количества щелчков мышью по различным рекламным баннерам, в то время как сам пользователь совершенно не заинтересован в просмотре этой рекламы. Целью злоумышленников обычно является увеличение прибыли в партнерских программах, оплачивающих переходы пользователей по рекламным ссылкам. Также нередко владельцы коммерческих интернет-ресурсов специально «накликивают» объявления своих конкурентов для того, чтобы увеличить их рекламные расходы. Достигается это с использованием специальных автоматизированных программ, которые чаще всего устанавливаются на компьютер жертвы без ее ведома. Одно из таких вредоносных приложений, найденных специалистами компании «Доктор Веб» еще в конце июля, получило наименование Trojan.Click3.9243.

Этот троянец распространяется в рамках хорошо знакомой специалистам по информационной безопасности партнерской программы Installmonster (также известной как Zipmonster), уже неоднократно замеченной в связях с вирусописателями. Троянец выдает себя за браузер под названием Ad Expert Browser, правда, пользователю не объясняется зачем он нужен и какие преимущества он дает. В лицензионном соглашении к этому приложению сказано, что Ad Expert Browser может иногда показывать пользователю рекламу в процессе просмотра веб-страниц, однако на практике это крайне маловероятно: истинное предназначение Trojan.Click3.9243 кроется совершенно в другом. Запустившись на инфицированном компьютере, троянец создает скрытый рабочий стол Windows, на котором стартует несколько процессов, — с их помощью Trojan.Click3.9243 открывает различные веб-страницы и начинает щелкать по рекламным баннерам. При этом троянец пытается имитировать действия живого человека: он прокручивает веб-страницы, эмулирует движения курсора мыши, «просматривает» видеоролики с использованием встроенных кодеков, предварительно отключив в своем приложении звук, чтобы случайно не потревожить пользователя. В процессе своей работы троянец отправляет на сервер злоумышленников перечень запущенных на инфицированном ПК процессов и сведения о нагрузке на процессор компьютера. Проанализировав цифровую подпись этой вредоносной программы, вирусные аналитики пришли к выводу, что к ее созданию могут быть причастны разработчики троянца Trojan.Zadved.1, о распространении которого компания «Доктор Веб» сообщала в декабре 2013 года.

Специалисты «Доктор Веб» призывают владельцев персональных компьютеров в целях безопасности не устанавливать программы, загруженные с сомнительных сайтов, а также обязательно использовать современное антивирусное ПО.