Jump to content

Злоб-троян

Злоб
Техническое название
  • TrojanDownloader:Win32/Zlob ( Microsoft )
  • Троян.Zlob ( Symantec )
  • Троян.Zlob.[Письмо] (Symantec)
  • Троян-загрузчик:W32/Zlob ( F-Secure )
  • Win32.Trojandownloader.Zlob (F-Secure)
  • Троян-загрузчик.Win32.Zlob (F-Secure)
  • TROJ_ZLOB.[Письмо] ( Trend Micro )
  • Троян-загрузчик.Win32.Zlob.[буква] ( Касперский )
  • Загрузчик.Win32.Zlob.[Буква] (Касперский)
  • TR/Dldr.Zlob.Gen ( Avira )
  • TR/Drop.Zlob.[Письмо] (Авира)
Тип Вредоносное ПО
Подтип Шпионское ПО

Троян Zlob , идентифицируемый некоторыми антивирусами как Trojan.Zlob , представляет собой троянский конь , который маскируется под необходимый видеокодек в форме ActiveX . Впервые он был обнаружен в конце 2005 года, но начал привлекать внимание только в середине 2006 года. [1]

После установки он отображает всплывающие рекламные окна , похожие на настоящие всплывающие окна с предупреждениями Microsoft Windows , информируя пользователя о том, что его компьютер заражен шпионским ПО . Нажатие на эти всплывающие окна запускает загрузку поддельной антишпионской программы (например, Virus Heat и MS Antivirus (Antivirus 2009)), в которой скрыт троянский конь. [1]

Троянец также был связан с загрузкой файла atnvrsinstall.exe, который использует значок щита безопасности Windows, чтобы выглядеть так, как будто это установочный файл антивируса от Microsoft. Запуск этого файла может нанести ущерб компьютерам и сетям. Одним из типичных симптомов являются случайные выключения или перезагрузки компьютера со случайными комментариями. [ нужны дальнейшие объяснения ] Это вызвано тем, что программы используют планировщик задач для запуска файла с именем «zlberfker.exe».

Список спам-доменов проекта Honeypot (PHSDL) [2] отслеживает и каталогизирует спам- домены. Некоторые из доменов в списке перенаправляют на порносайты и различные сайты для просмотра видео, на которых показано множество онлайн-видео. Воспроизведение видео на этих сайтах активирует запрос на загрузку кодека ActiveX , который является вредоносным ПО . Это не позволяет пользователю закрыть браузер обычным способом. Другие варианты установки трояна Zlob представляют собой CAB-файл Java , маскирующийся под сканирование компьютера. [3]

Есть свидетельства того, что троян Zlob может быть инструментом Русской бизнес-сети [4] или хотя бы русского происхождения. [5]

RSPlug, DNSChanger и другие варианты

[ редактировать ]

Группа, создавшая Zlob, также создала трояна для Mac с похожим поведением (названного RSPlug ). [6] Некоторые варианты семейства Zlob, такие как так называемый DNSChanger , добавляют мошеннические DNS- серверы имен в реестр компьютеров под управлением Windows. [7] и попытайтесь взломать любой обнаруженный маршрутизатор, чтобы изменить настройки DNS, потенциально перенаправляя трафик с законных веб-сайтов на другие подозрительные веб-сайты. [8] США DNSChanger, в частности, привлек значительное внимание, когда ФБР объявило, что закрыло источник вредоносного ПО в конце ноября 2011 года. [9] Однако, поскольку существовали миллионы зараженных компьютеров, которые потеряли бы доступ к Интернету, если бы серверы группы вредоносного ПО были отключены, ФБР решило преобразовать эти серверы в законные DNS-серверы. Однако из соображений стоимости эти серверы должны были отключиться утром 9 июля 2012 года, что могло привести к потере доступа к Интернету тысячами все еще зараженных компьютеров. [10] Отключение сервера произошло, как и планировалось, хотя ожидаемые проблемы с зараженными компьютерами не материализовались. К моменту закрытия было доступно множество бесплатных программ, которые эффективно удаляли вредоносное ПО Zlob, не требуя больших технических знаний. Однако вредоносное ПО все еще оставалось в дикой природе, и по состоянию на 2015 год его все еще можно было найти на незащищенных компьютерах. Вредоносное ПО также самовоспроизводилось, чего ФБР не до конца понимало, а отключенные серверы могли быть лишь одним из первоначальных источников вредоносного ПО. Современные антивирусные программы очень эффективны в обнаружении и удалении Zlob, и время его существования, похоже, подходит к концу. [ нужна ссылка ] [ нужно обновить ]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б «Шоу ZLOB: троянец выдает себя за поддельный видеокодек и несет в себе больше угроз» . Тренд Микро . Проверено 26 ноября 2007 г.
  2. ^ Список спам-доменов Project Honeypot
  3. ^ Документация о попытке перехвата спама на форуме PHSDL Zlob Trojan Forum
  4. ^ «RBN — Фейковые кодеки» .
  5. ^ "TCP – Проект Киберкультуры | Zlob Team" .
  6. ^ Тунг, Лиам (8 ноября 2007 г.). «Размножение Mac-трояна еще не эпидемия» . Новости CNET . Проверено 26 ноября 2007 г.
  7. ^ Подрезов, Алексей (7 ноября 2005 г.). «Описания вируса F-Secure: DNSChanger» . Корпорация F-Secure . Проверено 26 ноября 2007 г.
  8. ^ Винсентас (9 июля 2013 г.). «Троян Zlob на SpyWareLoop.com» . Шпионский цикл . Проверено 28 июля 2013 г.
  9. ^ «Международное кибер-кольцо, заразившее миллионы компьютеров, демонтировано» . США ФБР . 9 ноября 2011 года . Проверено 6 июня 2012 года .
  10. ^ Керр, Дара (5 июня 2012 г.). «Facebook предупреждает пользователей о конце Интернета через DNSChanger» . CNET . Проверено 6 июня 2012 года .
[ редактировать ]

Форумы по борьбе с вредоносным ПО Zlob

Retrieved from "https://en.wikipedia.org/w/index.php?title=Zlob_trojan&oldid=1233472855"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 2baa5fd674f9377508b9aa840f4d0dfa__1720500060
URL1:https://arc.ask3.ru/arc/aa/2b/fa/2baa5fd674f9377508b9aa840f4d0dfa.html
Заголовок, (Title) документа по адресу, URL1:
Zlob trojan - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)