• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям

Mila

Основатель
Сообщения
4,949
Симпатии
10,471
#1
Компания «Доктор Веб» —предупреждает об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак – на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов.

С конца прошлой недели в службу технической поддержки компании «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.




Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера, или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!



источник
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#2
Сигнатура данной угрозы и алгоритм лечения последствий заражения троянцем Trojan.Zekos успешно добавлены в вирусные базы Dr.Web.
хотелось бы, чтобы перед написанием обзора они действительно научились его лечить, а то http://forum.drweb.com/index.php?showtopic=313266&page=5#entry661811
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#4
оха, ржунимагу(((

юзеру пришлось переустановить систему, ничего не помогло
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,193
Симпатии
8,511
#7
«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».
Там ещё создается другой скрытый файл hosts с повышенным приоритетом и адресами заблокированных сайтов, через который и начинают идти веб-запросы. А оригинальный лежит в той же директории, но не работает.

Если попытаться открыть директорию через менеджеры типа Тотал Командер, то директория etc оказывается скрыта (её как бы и нет, хоть включай, хоть не включай отображение скр. и сис. файлов) - работает измененная системная библиотека.

Что примечательно:
- вирусописатели знают все секреты и инструментарии хелперов, они даже прилежно проходят обучение и сдают экзамены;
- утилиты, предназначенный для редактирования, фикса и восстановления hosts обращаются к оригинальному чистому файлу hosts;
- антивирусные продукты, в которых есть опция защиты файла hosts, оказываются бесполезными, т.к. их файл hosts не изменяется.

Но методом "глаза боятся, а руки делают" можно просто открыть директорию местонахождения, включить отображение скр. и сист. файлов и удалить "новый" hosts, а потом разобраться с библиотекой и прочими malware-модулями.

Обязательно нужно после этого проверять атрибуты на оригинальном hosts, и если потребуется ставить на "системный" и "только чтение" или создавать новый файл, чтобы система сама его обработала. А уж на Windows XP, как говорится, сам Бог.

Эта вредоносная атака работает на всех лицензионных Windows, включая новые, находящихся под защитой лучших продуктов антивирусной защиты.

Добавлено через 6 минут 13 секунд
Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox
Заметил, что именно в Firefox обнаруживается файл в директории с длинным названием и его тоже нужно оттуда выковыривать и вырезать ссылку с корнем. Но подробнее не смотрел.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#8
Помимо этого Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.
под большиством антивирусных компаний видно подразумеваются всего шесть вендеров
kaspersky, microsoft, avira, bitdefender, avast, eset
 
Сверху Снизу