Троян Magala использует виртуальные рабочие столы для кликов на рекламу

Вредонос инфицирует исключительно ПК под управлением Windows с браузером Internet Explorer 9 и выше.

Исследователи «Лаборатории Касперского» предупредили о новом трояне для Windows, получившем название Magala. Вредонос использует виртуальные рабочие столы для нажатия на отображаемую в поисковой выдаче рекламу и тем самым приносит прибыль своим операторам. Magala инфицирует только компьютеры под управлением Windows с версией браузера Internet Explorer 9 и выше.

Главной функцией трояна является инициализация виртуального рабочего стола и установка панели инструментов для браузера Maps Galaxy. С ее помощью стартовая страница Internet Explorer изменяется на MyWay (hp.myway.com) – поисковый движок, работающий на базе поисковой технологии Google. После установки на системе жертвы Magala подключается к C&C-серверу и загружает с него список слов, которые затем вводит в поисковик MyWay. После загрузки результатов поиска троян проводит синтаксический анализ страницы и кликает на первые десять результатов.

Magala
выполняет свои функции через «родной» интерфейс Windows – IHTMLDocument2
(механизм, позволяющий приложениям получать доступ к web-страницам).
Каждый раз, когда инфицированный хост кликнет на рекламу, операторы трояна
получают деньги. В среднем в подобных кампаниях за одно нажатие
киберпреступники получают $0,07, а за сто – $2,2. Magala не
приносит вреда зараженной системе, разве что использует ресурсы процессора не
по назначению. Однако для рекламодателей, платящих большие суммы рекламным
фирмам, которые вместо легитимных инструментов используют подобные трояны,
эффект от такой «рекламы» нулевой.