Zlob

Zlob, также известный как Trojan. Zlob — троянская программа, маскирующаяся под видеокодек в формате ActiveX. Впервые был обнаружен в конце 2005 года, но начал привлекать внимание общественности только в середине 2006 года^[1] . После установки он начинает отображать всплывающие окна, аналогичные настоящим всплывающим окнам с предупреждением о заражении компьютера пользователя шпионским ПО. Щелчок по таким всплывающим окнам запускает загрузку лжеантивируса, в котором и скрыт троян^[1].

Троян также связан с загрузкой файла atnvrsinstall.exe, мимикрирующим под установочный файл антивируса от Microsoft. Одним из типичных последствий запуска такого файла является случайное выключение или перезагрузка компьютера со случайными комментариями. Это связано с использованием планировщик заданий для запуска другого файла с именем «zlberfker.exe».

Project Honeypot (PHSDL)^[2], занимающийся отслеживанием и каталогизированием доменов спама, выявил источники распространения вируса. Некоторые из доменов в списке перенаправляют на порносайты и различные видеохостинги, показывающие несколько встроенных видео. Воспроизведение видео на этих сайтах активирует запрос на загрузку кодека ActiveX, являющегося вредоносным ПО, таким образом не позволяя пользователю закрыть браузер обычным образом. Другие варианты установки трояна Zlob представляют собой CAB-файл Java, маскирующийся под сканирование компьютера на предмет наличия вирусов^[3].

Есть свидетельства того, что троян Zlob может быть инструментом Russian Business Network^[4] или, по меньшей мере, иметь российское происхождение^[5].

Создатели Zlob, также создали трояна для MacOS под названием RSPlug^[6]. Некоторые варианты вирусов семейства Zlob, такие как «DNSChanger», добавляют мошеннические DNS-серверы в реестр Windows^[7] и пытаются взломать любой обнаруженный маршрутизатор, потенциально перенаправляя трафик с законных веб-сайтов на поддельные^[8]. DNSChanger привлек значительное внимание, когда ФБР США объявило, что в конце ноября 2011 года оно закрыло источник вредоносного ПО^[9], однако, поскольку существовали миллионы зараженных компьютеров, которые потеряли бы доступ к Интернету, если бы серверы хакерской группы были отключены, ФБР решило переорганизовать их в законные DNS-серверы. Из-за стоимостных соображений эти серверы всё ещё должны были отключиться утром, 9 июля 2012 г. что потенциально привело бы к потере доступа в Интернет тысяч все ещё зараженных компьютеров^[10]. Это отключение серверов произошло штатно, ожидаемые проблемы с зараженными компьютерами не материализовались. Несмотря на все усилия, вредоносное ПО осталось в свободном распространении в интернете, и по состоянию на 2015 год его все ещё можно было найти на незащищенных компьютерах.

Список поддельных кодеков ActiveX Zlob.Trojan
Список 113 поддельных кодеков

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

Zlob

RSPlug, DNSChanger и другие варианты

Примечания

Ссылки