Вирус Medfos подменяет содержимое поисковых запросов системы пользователя. Корпорация Microsoft сообщает о новом семействе вирусов Medfos, которое последние несколько месяцев активно распространяется во всем мире. Medfos для инфицирования системы обычно использует компонент загрузчика, который распространяется несколькими отдельными способами. Так, злоумышленники часто используют взломанные web-сайты для переадресации пользователей на страницы с эксплиоитами, а также обращаются к владельцам уже развернутых бот-сетей и загружают вирус на скомпрометированные ранее системы.
Загрузочный компонент Medfos устанавливается в каталог %AppData% и добавляет свои записи в системный реестр для усложнения его детектирования.
После первичной установки вируса на систему с командного сервера загружается и устанавливается дополнительный компонент. Основная задача этого компонента, как и всего вируса в целом, состоит в подмене результатов поиска в интернете.
Для выполнения своей функции Medfos встраивается в работу web-обозревателей, и может делать это различными способами. Так, основной модуль вируса может внедряться в процесс Internet Explorer, что не позволяет пользователю определить вредоносную активность. В остальные браузеры, например, Mozilla Firefox, вредоносная программа вставляет собственный плагин, который на первый взгляд выглядит легитимным и выполняет полезные функции.
Если пользователь зараженной системы отправляет поисковый запрос одной из популярных поисковых систем, командный сервер получает данные, как о содержимом этого запроса, так и об используемой поисковой системе. После этого система пользователя переходит по URL адресу, который присылает C&C сервер.