Впервые вирус был замечен еще весной. Но с тех пор он стал активно распространятся по всему миру и на пике своей активности заражал не менее 30 тысяч браузеров в сутки. При этом наибольшая часть его "жертв" приходится именно на Европу, а затем уже следуют Южная и Юго-Восточная Азия. Он проникает в систему по "классической" схеме - пользователя обманом вынуждают перейти по ссылке и установить зараженное ПО. Как только вирус получает доступ к системе, он сканирует ее на наличие популярных браузеров и модифицирует папку AppData, дающую право устанавливать любые расширения. Кроме того, "зловред" выключает обновления браузера.
"Для того чтобы распознать заражение подобным вирусом, можно попробовать найти через поисковую строку (например, в Яндексе, Google, Bing и т.д) информацию о какой-нибудь известной компании и внимательно изучить результаты, - говорит Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERT компании "Ростелеком". - Механизм работы современных поисковых систем устроен так, что в топе выдачи всегда будет находиться официальный сайт самой компании. Останется лишь проверить достоверность найденного ресурса". Чтобы это сделать, нужно перейти по ссылке на сайт компании (вирус не запустится автоматически при переходе на поддельный сайт, для его активации необходимо подтверждение от пользователя). Перейдя на сайт, нужно нажать на "замочек" в адресной строке и посмотреть, кем выдан сертификат для данного ресурса: там должно быть оригинальное наименование организации, которая уполномочена выдавать подобные сертификаты. "Если в этой строке нет наименования компании или указанная организация не представлена в интернете, то найденный ресурс является подделкой", - заключает специалист.