Een Trojaans paard dat Russische internetgebruikers aanvalt, gebruikt een nieuwe truc om zichzelf te verspreiden. Bicololo, zoals de malware wordt genoemd, is ontwikkeld om inloggegevens van gebruikers te stelen. Het doet dit door het Hosts-bestand aan te passen. Daardoor worden gebruikers van sociale netwerksites en e-mailaanbieders naar phishingsites doorgestuurd.

Op de phishingpagina's wordt een inlogvenster getoond waar gebruikers met hun gegevens kunnen inloggen. Aangezien alle aangevallen diensten geen HTTPS gebruiken, is het lastig voor een gebruiker om te bepalen dat hij naar een phishingsite is doorgestuurd. Door de aanpassing van het Hosts-bestand verschijnt de originele URL in de adresbalk van de browser.

Om zichzelf op het systeem te verbergen maakt Bicololo het originele Hosts-bestand onzichtbaar en plaatst vervolgens een bestand genaamd 'hOst'. Daarin worden de aanpassingen niet weergegeven. De O is hier een Cyrillische letter. Aangezien Windows verborgen bestanden niet toont, lijkt het voor een gebruiker dat er niets aan de hand is.

Bicolo doet zich voor als allerlei programma's, waaronder een Windows 8 Activator, Minecraft en FileZilla. De eerste versies werden vanaf gehackte websites, en dan voornamelijk gehackte WordPress en Joomla-sites, aangeboden. De gebruikte links waren echter eenvoudig te blokkeren.

Webserver
Een nieuwe truc moet dit voorkomen. De nieuwste versie gebruikt namelijk een zeer effectieve manier om zich te verspreiden, aldus anti-virusbedrijf Avast. De standaard 404 foutmelding (pagina niet gevonden) wordt gebruikt om het virus te verspreiden. "Dit geeft de aanvallers bijna een oneindig aantal mogelijke URLs om de malware aan te bieden", zegt Martin Smarda.

Het volstaat voor de aanvallers om een niet bestaande link op de gehackte website op een forum of website te plaatsen. Zodra een gebruiker op de niet bestaande link klikt zou hij normaal de 404-foutmelding krijgen, maar in dit geval wordt een kwaadaardig bestand aangeboden.