Компания «Доктор Веб» сообщила о распространении вредоносной программы Trojan.Zadved.1, представляющей собой плагин к браузерам, который якобы должен защищать пользователя от вредоносных и потенциально опасных сайтов. На самом деле троянец предназначен для подмены поисковой выдачи и перенаправления пользователя на сайты рекламодателей.
Первые образцы вредоносной программы были добавлены в вирусные базы «Доктор Веб» в начале ноября. Этот троянец распространяется в виде надстройки к браузерам под названием SafeWeb. Согласно сообщениям ее разработчиков она предназначена для «обеспечения безопасности пользователя в Интернете». По завершении установки плагин появляется в списке зарегистрированных расширений браузера и загружает с удаленных серверов несколько файлов сценариев, с помощью которых реализует свои функции. Один из них подменяет в окне браузера выдачу поисковых систем, демонстрируя пользователю посторонние ссылки. Другой выводит на экран поддельные всплывающие окна сообщений социальной сети «В Контакте», причем только в том случае, если жертва просматривает веб-страницы на сайте соцсети. Кроме того, троянец заменяет тизерные рекламные модули «ВКонтакте» своими собственными. Еще один сценарий предназначен для реализации так называемой «кликандер»-рекламы: при щелчке мышью в произвольной точке веб-страницы скрипт открывает новое окно браузера, в котором загружается рекламируемый злоумышленниками сайт.