Войти
| Обычное имя | Zlob |
|---|---|
| Техническое имя |
|
| Тип | Вредоносное ПО |
| Подтип | Шпионское ПО |
Троян Zlob, идентифицируемый некоторыми антивирусами как Trojan.Zlob, представляет собой троянский конь, который маскируется под необходимый видеокодек кодек в форме ActiveX. Впервые он был обнаружен в конце 2005 года, но привлек внимание только к середине 2006 года.
После установки он отображает всплывающую рекламу, которая выглядит как настоящая Microsoft Windows всплывающие окна с предупреждением, информирующие пользователя о том, что его компьютер заражен шпионским ПО. Щелчок по этим всплывающим окнам запускает загрузку поддельной антишпионской программы (например, Virus Heat и MS Antivirus (Antivirus 2009)), в которой спрятан троянский конь.
Троянец также был связан с загрузкой atnvrsinstall.exe, который использует значок щита безопасности Windows, чтобы выглядеть так, как будто это установочный файл антивируса от Microsoft. Инициирование этого файла может нанести серьезный ущерб компьютерам и сетям. Один из типичных симптомов - случайные выключения или перезагрузки компьютера со случайными комментариями. Это вызвано программами, использующими планировщик заданий для запуска файла с именем «zlberfker.exe».
Список спам-доменов проекта Honeypot (PHSDL) отслеживает и каталогизирует спам-домены. Некоторые из областей, в списке являются переадресовывает к порносайтам и различные видео смотреть сайты, которые показывают количество встроенных видео. При воспроизведении видео активируется запрос на загрузку кодека ActiveX, который является вредоносным ПО. Это не позволяет пользователю закрыть браузер обычным способом. Другие варианты установки троянца Zlob представляют собой cab-файл Java, маскирующийся под сканирование компьютера.
Есть свидетельства того, что троян Zlob мог быть инструментом российских Деловая сеть или как минимум российского происхождения.
Группа, создавшая Zlob, также создала трояна для Mac с аналогичным поведением (с именем RSPlug ). Некоторые варианты семейства Zlob, такие как так называемый «DNSChanger », добавляют мошеннические серверы имен DNS в реестр компьютеров под управлением Windows и пытаются взломать любой обнаруженный маршрутизатор, чтобы изменить настройки DNS, потенциально перенаправляя трафик с законных веб-сайтов на другие подозрительные веб-сайты. DNSChanger, в частности, привлек значительное внимание, когда ФБР США объявило, что оно отключило источник вредоносного ПО в конце ноября 2011 года. Однако, поскольку были миллионы зараженных компьютеров, которые потеряли бы доступ к Интернету, если бы Серверы группы вредоносных программ были отключены, ФБР решило преобразовать серверы в легитимные DNS-серверы. Однако из-за проблем с затратами эти серверы были отключены утром 9 июля 2012 года, в результате чего тысячи все еще зараженных компьютеров могли потерять доступ к Интернету. Это завершение работы сервера произошло по плану, хотя ожидаемых проблем с зараженными компьютерами не произошло. К моменту закрытия было доступно множество бесплатных программ, которые эффективно и без особых технических знаний удаляли вредоносное ПО Zlob. Однако вредоносное ПО осталось в дикой природе и по состоянию на 2015 год все еще могло быть обнаружено на незащищенных компьютерах. Вредоносная программа также была самовоспроизводящейся, чего ФБР не полностью понимало, и отключенные серверы могли быть только одним из первоначальных источников вредоносного ПО. Современные антивирусные программы очень эффективны при обнаружении и удалении Zlob, и его время в дикой природе, похоже, подходит к концу.
Форумы Anti Zlob Malware
