Троян Zekos имитирует взлом аккаунта в соцсети

Компания «Доктор Веб» сегодня предупредила об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

Об этом докладывает Сybersecurity.ru

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от юзеров, утративших возможность входить на веб-сайты соц сетей. Заместо соответственных интернет-ресурсов в окне браузера показывались интернет-страницы с сообщением о том, что профиль юзера в социальной сети заблокирован, и предложением ввести в соответственное поле номер телефона и подтверждающий код, приобретенный в ответном СМС.

«Мы зафиксировали попытку взлома Вашей странички. Не волнуйтесь, она в безопасности. Чтоб обезопасить Вашу страничку от злоумышленников и в дальнейшем, мы просим Вас подтвердить привязку к телефону и придумать новый непростой пароль».

«Ваша страничка была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были обязаны временно заблокировать его. Для восстановления доступа к аккаунту Для вас нужно пройти валидацию через мобильный телефон».

При всем этом оформление веб-страниц и демонстрируемый в строке браузера адресок оказывались схожи уникальному дизайну и интернет-адресу соответственной социальной сети. Не считая того, на поддельной интернет-странице даже демонстрировалось истинное имя юзера, потому многие жертвы киберпреступников просто не замечали замены, считая, что их учетная запись в социальной сети вправду была взломана.

Проведенное вирусными аналитиками расследование показало, что виновником инцидента стала переделанная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программка, «дополнившая» библиотеку вредным объектом, получила заглавие Trojan.Zekos, при этом она умеет заражать как 32-битные, так и 64-битные версии Windows. Броско, что 1-ые версии данного троянца были найдены еще сначала 2012 года, но эта модификация вредной программки обладает некими отличиями от собственных предшественников.

Trojan.Zekos состоит из нескольких компонент. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именованием и расширением, отключает защиту файлов Windows File Protection и пробует повысить собственные привилегии в операционной системе. Потом троянец видоизменит библиотеку rpcss.dll, добавляя в нее код, основное назначение которого – загрузка в память компьютера лежащей на диске копии троянца. Также Trojan.Zekos видоизменит драйвер протокола TCP/IP (tcpip.sys) с целью роста количества одновременных TCP-соединений в 1 секунду с 10 до 1 000 000.

Trojan.Zekos обладает очень богатым и развитым вредным функционалом. Одна из способностей данной вредной программки – перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Мозилла Firefox, Chrome, Opera, Safari и др. Таким макаром, при попытке, к примеру, посетить веб-сайт пользующейся популярностью социальной сети, браузер юзера получит в ответ на DNS-запрос неправильный Айпишник запрашиваемого ресурса, и заместо искомого веб-сайта юзер увидит принадлежащую злодеям интернет-страницу. При всем этом в адресной строке браузера будет демонстрироваться верный URL. Кроме этого Trojan.Zekos перекрывает доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.