Новий вірус Trojan.Zekos блокує Вконтакті та Однокласники та краде паролі

20 квітня 2013

Зафіксовано появу нового троянського вірусу Zekos, який блокує сторінки користувачів в соціальних мережах Однокласники та Вконтакті. Користувачі не можуть пройти авторизацію в свій акаунт і у вікні браузера з'являється повідомлення про блокування облікового запису користувача. Користувачеві пропонується ввести свій номер телефону, на який буде вислана SMS з кодом розблокування акаунту. Найцікавіше те, що помилкова сторінка Вконтакті або Однокласниках відображала реальні імена користувачів, хоча насправді, ці сторінки просто поширювали троянську програму Trojan.Zekos.

Вірус Trojan.Zekos на комп'ютері зберігається в одну із системних тек під виглядом файлу, в зашифрованому вигляді. Після цього програма намагається відключити захист файлів Windows і намагається підвищити привілеї для виконання завдань більш високого рівня. Після цього, троян змінює DLL-бібліотеку - Rpcss.dll, в яку він додає код, призначений для завантаження в пам'ять комп'ютера копії програми. Також Trojan.Zekos модифікує файл tcpip.sys для того, щоб збільшити кількість одночасних TCP-підключень в 1 сек (з 10 підключень до 1000000).

Також троян Zekos може перехоплювати DNS-запити, призначені для браузерів: Internet Explorer, Firefox, Google Chrome, Opera, Safari та інші. У зв'язку з цим, коли користувач намагається отримати доступ до соціальних мереж Однокласники і Вконтакті, браузер отримує у відповідь на DNS-запит некоректну IP-адресу ресурсу, і замість потрібного сайту користувач переходить на веб-сторінку зловмисників. При цьому в адресному рядку браузера буде демонструватися правильний URL. Ще одна здатність Trojan.Zekos - блокування доступу до інтернет-сайтів більшості антивірусних компаній і серверів Microsoft.


Джерела

ред.

«Новый троянец охотится на пользователей, «блокируя» доступ к социальным сетям».