Эксперты компании “Доктор Веб” сообщают о появлении нового “трояна” Zekos, который блокирует доступ пользователей на персональные аккаунты в социальных сетях “ВКонтакте” и “Одноклассники”. Жалобы от пользователей, которые поступают в компанию “Доктор Веб”, сводятся к следующему: участник соцсети не может пройти авторизацию в соцсети, т.к. в окне браузера появляется сообщение о блокировке учетной записи. Для того, чтобы запись была разблокирована, пользователю предлагается ввести свой номер телефона и полученный в ответном SMS-сообщении код.
Чтобы у жертвы не возникло подозрений, и она согласилась указать в предложенной форме свой номер телефона, ложные страницы с уведомлением о блокировке содержали настоящие имена пользователей. На самом деле, такие страницы распространяли видоизмененную троянскую программу Trojan.Zekos.
“Запускаясь на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок под видом файла с произвольным именем и расширением. Далее он отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. После чего вирус модифицирует библиотеку rpcss.dll, добавляя в нее код для загрузки в память компьютера хранящейся на диске копии. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000”, – сообщают специалисты компании “Доктор Веб”.
Троян Zekos может перехватывать DNS-запросы на зараженном компьютере для процессов браузеров Internet Explorer, Firefox, Chrome, Opera, Safari и др. Следовательно, при попытке пользователя зайти на популярный ресурс, браузер получает в ответ некорректный IP-адрес и переводит пользователя на принадлежащую злоумышленникам web-страницу. Что характерно, в адресной строке браузера будет отображаться правильный URL. (Dr. Web/NovostIT)