В декабре прошлого года была обнаружена первая версия вируса, использовавшая подобный подход и вызвавшая достаточно серьезную эпидемию.
Новая версия трояна получила название Trojan.Flush.M. В отличие от предшественника, новая модификация значительно расширила набор сайтов-ловушек, копирующих наиболее популярные сайты платежных систем и банков, а также стала оставлять куда меньше следов своей деятельности в системе.
В целом смысл действий вируса сводится к подмене адресной системы на локальном компьютере, что заставляет инфицированную машину при вводе буквенного доменного имени открывать совсем не тот IP-адрес, на котором расположен затребованный пользователем сайт.
Пользователь инфицированной системы в результате увидит точно такой же сайт, что и ожидал увидеть. Но, в отличие от привычного сервиса сайт-ловушка обеспечивает лишь кражу паролей - попытка авторизации на нем приведет к отправке данных пользователя разработчику вируса.
В настоящее время для борьбы с подобным типом вредоносных программ эффективны лишь два пути – выделенный аппаратный маршрутизатор, не связанный с операционной системой пользователей и способный отслеживать все "несовпадения" с официальным списком DNS, либо блокирование IP-адресов, к которым может обращаться вирус. В данном случае это адреса 64.86.133.51 и 63.243.173.162. Впрочем, последний метод – не слишком эффективная мера, поскольку новые версии вируса, конечно же, будут получать данные уже с других адресов.