Об этом CNews сказали http://icr-forum.ru/. Ежели пользователь переходит на зараженный сайт с другого домена, а еще при соблюдении ряда условий (использование 32-битной ОС семейства Windows либо ОС семейства Mac OS X с архитектурой Intel и браузера, хорошего от Opera), вредный скрипт открывает на вкладке, откуда был осуществлен переход, страничку правонарушителей.
Интегрированный в данной веб-странице специальный обработчик не дает возможность закрыть вкладку, а при нажатии клавиш либо щелчке мышью показывается назойливое окно, которое предлагает установить некоторое расширение для браузера. При всем этом злоумышленники выдают данное расширение за решение, якобы разработанное известным производителем антивирусного ПО.
В процессе установки этот плагин требует у пользователя предоставить ему ряд разрешений, а после инсталляции отражается в списке расширений Chrome под именем «Щит безопасности KIS». Основное назначение данного троянца — осуществление веб-инжектов (встраивание стороннего содержимого в просматриваемые веб-страницы).
Любопытно, что вредоносная программа содержит список интернет-ресурсов, на которых реклама не отражается. Ежели ее контекст включает безнравственный контент, из 2-х отдельных сетей загружается реклама соответствующей тематики. В число таковых ресурсов входят fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и некоторые иные. На сервер правонарушителей Trojan.BPLug. При всем этом сервер может указать трояну, какие расширения следует деактивировать.
Ежели пользователь авторизовался в «Одноклассниках», троян пробует предоставить определённому приложению доступ к API данной соцсети от имени жертвы путём авторизации по акту OAuth. Таким образом, можно представить, что злоумышленники используют программу в разных рекламных целях — например, для продвижения групп, рассылки спама либо каких-либо голосований. После установки она отражается в Chrome в виде «Щита безопасности KIS».
