Специалисты "Доктор Веб" предупреждают о появлении новой версии вредоносной утилиты Trojan.Zekos, основной функционал которой заключен в перехвате запросов DNS на зараженном ПК. Вирусописатели используют данный механизм для организации фишинговых атак – вместо открываемых страниц отображаются поддельные сайты злоумышленников.
В начале апреля служба технической поддержки антивирусной компании начала получать сообщение от пользователей об утрате доступа к социальным сетям. Вместо соответствующего сайта демонстрировалось сообщение о том, что данный аккаунт заблокирован администрацией, а для его разблокировки необходимо указать номер мобильного телефона и ввести в специальную форму полученный в сообщении код.
При этом адрес, отображаемый в строке браузера, и дизайн страницы совпадают с оригиналом. Поддельная страница также отображает настоящее имя владельца страницы, что добавляет правдоподобности.
Проведенное расследование показало, что в инциденте виновата отредактированная троянским приложением системная библиотека rpcss.dll (компонент службы удаленного вызова процедур). А вирус, который видоизменил библиотеку, получил название Trojan.Zekos, причем он способен инфицировать и 32-битный и 64-битные платформы. Примечательно, что специалисты обнаружили первые версии данного вируса еще в начале прошлого года, однако новая модификация Trojan.Zekos обладает рядом отличительных особенностей от своих предшественников.
Троянская программа включает несколько компонентов. Запустившись в системе, вирус сохраняет в одном из системных каталогов свою зашифрованную копию с произвольным расширением и именем. Далее вредоносная утилита отключает службу Windows File Protection (защита файлов) и делает попытку повысить свои права в системе. Далее вирус вносит изменения в библиотеку rpcss.dll, внедряя в нее вредоносный код, главные функции которого заключаются в загрузке в память ПК сохраненной копии троянского приложения.
Как отметили эксперты, Trojan.Zekos обладает развитым вредоносным функционалом. Одной из возможностей данного вируса является перехват запросов DNS для процессов браузеров Mozilla Firefox, Safari, Chrome, Opera, Internet Explorer и других. При попытке открыть, например, страницу социального ресурса, обозреватель пользователя в ответ на отправленный DNS-запрос получит некорректный IP запрашиваемого сайта, и вместо искомой страницы пользователю будет продемонстрирован мошеннический сайт.
Deep thinking - adds a new dimension to it all.