Zlob троян - Zlob trojan - Wikipedia

Распространенное имяЗлоб
Техническое название
  • TrojanDownloader: Win32 / Zlob (Microsoft )
  • Trojan.Zlob (Symantec )
  • Trojan.Zlob. [Письмо] (Symantec)
  • Троян-загрузчик: W32 / Zlob (F-Secure )
  • Win32.Trojandownloader.Zlob (F-Secure)
  • Trojan-Downloader.Win32.Zlob (F-Secure)
  • TROJ_ZLOB. [Письмо] (Trend Micro )
  • Trojan-Downloader.Win32.Zlob. [Письмо] (Касперский )
  • Downloader.Win32.Zlob. [Письмо] (Касперский)
  • TR / Dldr.Zlob.Gen (Avira )
  • TR / Drop.Zlob. [Письмо] (Avira)
ТипВредоносное ПО
ПодтипШпионское ПО

В Zlob троян, который некоторыми антивирусами определяется как Trojan.Zlob, это троянский конь который маскируется под необходимое видео кодек в виде ActiveX. Впервые он был обнаружен в конце 2005 года, но привлек внимание только к середине 2006 года.[1]

После установки отображается всплывающая реклама с которыми кажутся похожими на настоящие Майкрософт Виндоус всплывающие окна с предупреждением, информирующие пользователя о том, что его компьютер заражен шпионское ПО. Щелчок по этим всплывающим окнам запускает загрузку поддельная антишпионская программа (например, Virus Heat и MS антивирус (Antivirus 2009)), в котором спрятан троянский конь.[1]

Троянец также был связан с загрузкой atnvrsinstall.exe, который использует значок щита безопасности Windows, чтобы выглядеть так, как будто это установочный файл антивируса от Microsoft. Инициирование этого файла может нанести серьезный ущерб компьютерам и сетям. Один из типичных симптомов - случайные выключения или перезагрузки компьютера со случайными комментариями. Это вызвано программами, использующими Планировщик заданий для запуска файла с именем «zlberfker.exe».

Список доменов спама Project Honeypot (PHSDL)[2] треки и каталоги спам домены. Некоторые из областей, в списке являются переадресовывает к порносайтам и различные видео смотреть сайты, которые показывают количество встроенных видео. При воспроизведении видео активируется запрос на загрузку ActiveX кодек, который вредоносное ПО. Это не позволяет пользователю закрыть браузер обычным способом. Другие варианты установки троянца Zlob представлены в виде Ява cab-файл, маскирующийся под сканирование компьютера.[3]

Есть свидетельства того, что троян Zlob мог быть инструментом Российская Деловая Сеть[4] или хотя бы русского происхождения.[5]

RSPlug, DNSChanger и другие варианты

Группа, создавшая Zlob, также создала троян для Mac с аналогичным поведением (названный RSPlug ).[6] Некоторые варианты семейства Zlob, например, так называемый "DNSChanger ", добавьте мошенника DNS серверов имен для реестр компьютеров под управлением Windows[7] и попытаться взломать любой обнаруженный маршрутизатор, чтобы изменить настройки DNS, потенциально перенаправляя трафик с законных веб-сайтов на другие подозрительные веб-сайты.[8] DNSChanger привлек особое внимание, когда США ФБР объявил, что в конце ноября 2011 года отключил источник вредоносного ПО.[9] Однако, поскольку были миллионы зараженных компьютеров, которые потеряли бы доступ к Интернету, если бы серверы группы вредоносных программ были отключены, ФБР решило преобразовать серверы в легитимные DNS-серверы. Однако из-за проблем с затратами эти серверы были отключены утром 9 июля 2012 года, что могло привести к потере доступа в Интернет тысяч все еще зараженных компьютеров.[10] Это завершение работы сервера произошло по плану, хотя ожидаемых проблем с зараженными компьютерами не произошло. К моменту закрытия было доступно множество бесплатных программ, которые эффективно и без особых технических знаний удаляли вредоносное ПО Zlob. Однако вредоносное ПО осталось в дикой природе и по состоянию на 2015 год все еще могло быть обнаружено на незащищенных компьютерах. Вредоносная программа также была самовоспроизводящейся, чего ФБР не полностью понимало, и отключенные серверы могли быть только одним из первоначальных источников вредоносной программы. Современные антивирусные программы очень эффективны при обнаружении и удалении Zlob, и его время в дикой природе, похоже, подходит к концу.[нужна цитата ]

Смотрите также

Рекомендации

  1. ^ а б "Шоу ZLOB: троянец выдает себя за поддельный видеокодек, создает больше угроз". Trend Micro. Получено 26 ноября 2007.
  2. ^ Список доменов для спама в Project Honeypot
  3. ^ PHSDL Zlob Trojan Forum Документация по попытке взлома спама
  4. ^ http://rbnexploit.blogspot.com/2007/11/rbn-fake-codecs.html
  5. ^ http://t-c-p.narod.ru/gr0031.htm
  6. ^ Тунг, Лиам (8 ноября 2007 г.). «Увеличение числа Mac-троянцев еще не стало эпидемией». CNET Новости. Получено 26 ноября 2007.
  7. ^ Подрезов, Алексей (7 ноября 2005 г.). «Описание вирусов F-Secure: DNSChanger». F-Secure Corporation. Получено 26 ноября 2007.
  8. ^ Винсентас (9 июля 2013 г.). "Троян Zlob в SpyWareLoop.com". Цикл шпионского ПО. Получено 28 июля 2013.
  9. ^ «Международное кибер-кольцо, заразившее миллионы компьютеров, демонтировано». НАС. ФБР. 9 ноября 2011 г.. Получено 6 июн 2012.
  10. ^ Керр, Дара (5 июня 2012 г.). «Facebook предупреждает пользователей об окончании интернета через DNSChanger». CNET. Получено 6 июн 2012.

внешняя ссылка

Форумы по борьбе с вредоносным ПО Zlob

  • Geeks to Go Forum
  • SWI Forum
  • Форум TSG
  • dns-ok.gov.au Веб-сайт правительства Австралии, на котором есть возможность диагностики, чтобы определить, заражен ли ваш компьютер с помощью DNSChanger.