Нова версія Trojan.Zekos блокує вам доступ до соцмереж
З кінця минулого тижня в службу технічної підтримки компанії «Доктор Веб» стали надходити заявки від користувачів, які втратили можливість заходити на сайти соціальних мереж. Замість відповідних інтернет-ресурсів у вікні браузера демонструвалися веб-сторінки з повідомленням про те, що профіль користувача в соціальній мережі заблокований, і пропозицією ввести у відповідне поле номер телефону та підтверджує код, отриманий у відповідному СМС. Ось приклади текстів, опублікованих зловмисниками на підроблених веб-сторінках, імітують «ВКонтакте» і «Однокласники»:
«Ми зафіксували спробу злому Вашої сторінки. Не турбуйтеся, вона в безпеці. Щоб убезпечити Вашу сторінку від зловмисників і в майбутньому, ми просимо Вас підтвердити прив'язку до телефону і придумати новий складний пароль».
«Ваша сторінка була заблокована з підозрою на злом! Наша система безпеки виявила масову розсилку спам-повідомлень з Вашого аккаунта, і ми були змушені тимчасово заблокувати його. Для відновлення доступу до акаунту Вам необхідно пройти валідацію через мобільний телефон».
При цьому оформлення веб-сторінок і демонстрований в рядку браузера адресу виявлялися ідентичні оригінальному дизайну та інтернет-адресою відповідної соціальної мережі. Крім того, на підробленої веб-сторінці навіть демонструвалося справжнє ім'я користувача, тому багато жертви кіберзлочинців просто не помічали підміни, вважаючи, що їх обліковий запис у соціальній мережі дійсно була зламана.
Проведене вірусними аналітиками «Доктор Веб» розслідування показало, що винуватцем інциденту стала видозмінена вірусом системна бібліотека rpcss.dll, що є компонентом служби віддаленого виклику процедур (RPC) в операційних системах сімейства Microsoft Windows. А троянська програма, «доповнила» бібліотеку шкідливим об'єктом, отримала назву Trojan.Zekos, причому вона вміє заражати як 32-бітові, так і 64-бітні версії Windows. Примітно, що перші версії даного троянця були знайдені ще на початку 2012 року, проте ця модифікація шкідливої програми володіє деякими відмінностями від своїх попередників.
Trojan.Zekos складається з декількох компонентів. Запустившись на зараженому комп'ютері, Trojan.Zekos зберігає свою зашифровану копію в одну із системних папок у вигляді файлу з випадковим ім'ям і розширенням, відключає захист файлів Windows File Protection і намагається підвищити власні привілеї в операційній системі. Потім троянець модифікує бібліотеку rpcss.dll, додаючи в неї код, основне призначення якого - завантаження в пам'ять комп'ютера зберігається на диску копії троянця. Також Trojan.Zekos модифікує драйвер протоколу TCP/IP (tcpip.sys з метою збільшення кількості одночасних TCP-з'єднань в 1 секунду з 10 до 1000000.
Trojan.Zekos має надзвичайно багатим і розвиненим шкідливим функціоналом. Одна з можливостей даної шкідливої програми - перехоплення DNS-запитів на інфікованому комп'ютері для процесів браузерів Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Mozilla та ін Таким чином, при спробі, наприклад, відвідати сайт популярної соціальної мережі, веб-браузер користувача отримає у відповідь на DNS-запит некоректний IP-адреса запитуваного ресурсу, і замість шуканого сайту користувач побачить належить зловмисникам веб-сторінку. При цьому в адресному рядку браузера буде демонструватися правильний URL. Крім цього Trojan.Zekos блокує доступ до інтернет-сайтів більшості антивірусних компаній і серверів Microsoft.
Сигнатура даної загрози і алгоритм лікування наслідків зараження троянцем Trojan.Zekos успішно додані до вірусні бази Dr.Web. Користувачам, постраждалим від даної загрози, рекомендується перевірити жорсткі диски комп'ютерів з допомогою антивірусного сканера, або скористатися безкоштовною лікуючої утилітою Dr.Web CureIt!