Zlob (Zlob)
Zlob, также известный как Trojan. Zlob — троянская программа, маскирующаяся под видеокодек в формате ActiveX. Впервые был обнаружен в конце 2005 года, но начал привлекать внимание общественности только в середине 2006 года[1] . После заражения устройства, кодек начинает отображать всплывающие окна с предупреждением о заражении компьютера пользователя шпионским ПО. Щелчок по данным всплывающим окнам запускает загрузку лжеантивируса, в котором и скрыт троян[1].
Вирус также связан с загрузкой файла atnvrsinstall.exe, мимикрирующим под установочный файл антивируса от Microsoft. Одним из последствий запуска этого файла является случайное выключение или перезагрузка компьютера со случайными комментариями. Это связано с использованием планировщика заданий для запуска другого файла с именем «zlberfker.exe».
Project Honeypot (PHSDL)[2], занимающийся отслеживанием и каталогизированием доменов спама, выявил источники распространения вируса. Некоторые из доменов в списке перенаправляют на порносайты и различные видеохостинги, показывающих несколько встроенных видео. Воспроизведение видео на этих сайтах активирует запрос на загрузку кодека ActiveX, являющегося вредоносным ПО, таким образом не позволяя пользователю закрыть браузер обычным образом. Другие варианты установки трояна Zlob представляют собой CAB-файл Java, маскирующийся под сканирование компьютера на предмет наличия вирусов[3].
Есть свидетельства того, что троян Zlob может быть инструментом Russian Business Network[4] или, по меньшей мере, иметь российское происхождение[5].
RSPlug, DNSChanger и другие варианты
[править | править код]Создатели Zlob, также создали трояна для MacOS под названием RSPlug[англ.][6]. Некоторые варианты вирусов семейства Zlob, такие как «DNSChanger[англ.]», добавляют мошеннические DNS-серверы в реестр Windows[7] и пытаются взломать любой обнаруженный маршрутизатор, потенциально перенаправляя трафик с легальных веб-сайтов на поддельные[8]. DNSChanger привлек значительное внимание, когда ФБР США объявило, что в конце ноября 2011 года оно обнаружило источник распространения вредоносного ПО и остановило его деятельность[9], однако, поскольку существовали миллионы зараженных компьютеров, которые потеряли бы доступ к Интернету, если бы серверы хакерской группы были отключены, ФБР решило переорганизовать их в законные DNS-серверы. Из-за стоимостных соображений эти серверы всё ещё должны были отключиться 9 июля 2012 г. что потенциально привело бы к потере доступа в Интернет тысяч все ещё зараженных компьютеров[10]. Это отключение серверов произошло штатно, ожидаемые проблемы с зараженными компьютерами не материализовались. Несмотря на все усилия, вредоносное ПО осталось в свободном распространении в интернете, и по состоянию на 2015 год его все ещё можно было найти на незащищенных компьютерах.
Примечания
[править | править код]- ↑ 1 2 The ZLOB Show: Trojan Poses as Fake Video Codec, Loads More Threats . Trend Micro. Дата обращения: 26 ноября 2007. Архивировано 11 декабря 2007 года.
- ↑ Project Honeypot Spam Domains List . Дата обращения: 16 апреля 2023. Архивировано 16 апреля 2023 года.
- ↑ PHSDL Zlob Trojan Forum Spam Hijacking Attempt Documentation . Дата обращения: 16 апреля 2023. Архивировано 25 февраля 2021 года.
- ↑ RBN – Fake Codecs . Дата обращения: 16 апреля 2023. Архивировано 16 апреля 2023 года.
- ↑ TCP – Проект Киберкультуры | Zlob Team . Дата обращения: 16 апреля 2023. Архивировано 16 апреля 2023 года.
- ↑ Tung. Multiplying Mac Trojan not epidemic yet . CNET News (8 ноября 2007). Дата обращения: 26 ноября 2007. Архивировано 7 сентября 2008 года.
- ↑ Podrezov. F-Secure Virus Descriptions: DNSChanger . F-Secure Corporation (7 ноября 2005). Дата обращения: 26 ноября 2007. Архивировано 3 декабря 2007 года.
- ↑ Vincentas (2013-07-09). "Zlob Trojan in SpyWareLoop.com". Spyware Loop. Архивировано 16 марта 2016. Дата обращения: 28 июля 2013.
- ↑ International Cyber Ring That Infected Millions of Computers Dismantled . U.S. FBI (9 ноября 2011). Дата обращения: 6 июня 2012. Архивировано 30 июня 2012 года.
- ↑ Kerr, Dara. Facebook warns users of the end of the Internet via DNSChanger . CNET (5 июня 2012). Дата обращения: 6 июня 2012. Архивировано 12 сентября 2013 года.