Interested Article - Zlob
- 2020-09-06
- 1
Zlob , также известный как Trojan. Zlob — троянская программа , маскирующаяся под видеокодек в формате ActiveX . Впервые был обнаружен в конце 2005 года, но начал привлекать внимание общественности только в середине 2006 года . После заражения устройства, кодек начинает отображать всплывающие окна с предупреждением о заражении компьютера пользователя шпионским ПО . Щелчок по данным всплывающим окнам запускает загрузку лжеантивируса , в котором и скрыт троян .
Вирус также связан с загрузкой файла atnvrsinstall.exe, мимикрирующим под установочный файл антивируса от Microsoft. Одним из последствий запуска этого файла является случайное выключение или перезагрузка компьютера со случайными комментариями. Это связано с использованием планировщика заданий для запуска другого файла с именем «zlberfker.exe».
Project Honeypot (PHSDL) , занимающийся отслеживанием и каталогизированием доменов спама , выявил источники распространения вируса. Некоторые из доменов в списке перенаправляют на порносайты и различные видеохостинги, показывающих несколько встроенных видео. Воспроизведение видео на этих сайтах активирует запрос на загрузку кодека ActiveX , являющегося вредоносным ПО , таким образом не позволяя пользователю закрыть браузер обычным образом. Другие варианты установки трояна Zlob представляют собой CAB-файл Java , маскирующийся под сканирование компьютера на предмет наличия вирусов .
Есть свидетельства того, что троян Zlob может быть инструментом или, по меньшей мере, иметь российское происхождение .
RSPlug, DNSChanger и другие варианты
Создатели Zlob, также создали трояна для MacOS под названием . Некоторые варианты вирусов семейства Zlob, такие как « », добавляют мошеннические DNS-серверы в реестр Windows и пытаются взломать любой обнаруженный маршрутизатор , потенциально перенаправляя трафик с легальных веб-сайтов на поддельные . DNSChanger привлек значительное внимание, когда ФБР США объявило, что в конце ноября 2011 года оно обнаружило источник распространения вредоносного ПО и остановило его деятельность , однако, поскольку существовали миллионы зараженных компьютеров, которые потеряли бы доступ к Интернету, если бы серверы хакерской группы были отключены, ФБР решило переорганизовать их в законные DNS-серверы. Из-за стоимостных соображений эти серверы всё ещё должны были отключиться 9 июля 2012 г. что потенциально привело бы к потере доступа в Интернет тысяч все ещё зараженных компьютеров . Это отключение серверов произошло штатно, ожидаемые проблемы с зараженными компьютерами не материализовались. Несмотря на все усилия, вредоносное ПО осталось в свободном распространении в интернете, и по состоянию на 2015 год его все ещё можно было найти на незащищенных компьютерах.
Примечания
- ↑ . Trend Micro. Дата обращения: 26 ноября 2007. 11 декабря 2007 года.
- . Дата обращения: 16 апреля 2023. 16 апреля 2023 года.
- . Дата обращения: 16 апреля 2023. 25 февраля 2021 года.
- . Дата обращения: 16 апреля 2023. 16 апреля 2023 года.
- . Дата обращения: 16 апреля 2023. 16 апреля 2023 года.
- Tung. . CNET News (8 ноября 2007). Дата обращения: 26 ноября 2007. 7 сентября 2008 года.
- Podrezov. . F-Secure Corporation (7 ноября 2005). Дата обращения: 26 ноября 2007. 3 декабря 2007 года.
- Vincentas (2013-07-09). . Spyware Loop . из оригинала 16 марта 2016 . Дата обращения: 28 июля 2013 .
- . U.S. FBI (9 ноября 2011). Дата обращения: 6 июня 2012. 30 июня 2012 года.
- Kerr, Dara. . CNET (5 июня 2012). Дата обращения: 6 июня 2012. 12 сентября 2013 года.
Ссылки
- 2020-09-06
- 1