Троян Trojan.Zekos блокирует доступ к социальным сетям


Trojan.Zekos - вредоносная программа, способная перехватывать DNS-запросы на инфицированном компьютере.

Перехват DNS-запросов вирусописатели применяют для проведения фишинговых атак, т.е., на зараженной машине начинают отображаться принадлежащие злоумышленникам веб-страницы вместо запрашиваемых пользователем сайтов.

Данная вредоносная программа уже на протяжении последних 10 дней не дает пользователям заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера пользователям демонстрировались веб-страницы с сообщением, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС.

Примеры текстов на поддельных веб-страницах "ВКонтакте" и "Одноклассники":

"Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль".

"Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон".

При этом оформление веб-страниц и адрес в строке браузера оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. На поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы просто не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

Vk validate profile
Odnoklassniki check security

В ходе расследования выяснилось, что Trojan.Zekos после попадания на компьютер пользователя видоизменял системную библиотеку

  • rpcss.dll

которая является компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. Сама же троянская программа, "внедрившая" в библиотеку вредоносный объект, способна заражать как 32-битные, так и 64-битные версии Windows. Интересно, что впервые модификации данного трояна были обнаружены еще в начале 2012 года, однако эта версия Trojan.Zekos обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. После запуска на инфицированном компьютере, вредоносный код сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, после чего отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троян модифицирует библиотеку

  • rpcss.dll

добавив в нее код, который загружает в память компьютера хранящейся на диске копии трояна. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP

  • tcpip.sys

с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов известных браузеров. Таким образом, при попытке посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Еще одна способность Trojan.Zekos - блокировка доступа к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Пользователям, уже пострадавшим от данной угрозы, необходимо проверить свои компьютеры при помощи бесплатной лечащей утилиты Dr.Web CureIt!