Новая вредоносная программа Trojan.Zekos атакует компьютеры пользователей социальных сетей. Она перехватывает DNS-запросы на инфицированном компьютере, сообщает пресс-служба антивирусной компании "Доктор Веб".
В течение последних нескольких дней пользователи утратили возможность заходить на сайты соцсетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС
При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице демонстрировалось настоящее имя пользователя.
Проведенное вирусными аналитиками расследование показало, что виновником инцидента стала вредоносная программа Trojan.Zekos, способная заражать 32-битные и 64-битные версии Windows.
Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1 млн.
Помимо перехватов DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др., Trojan.Zekos способен блокировать доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.
Пользователям, пострадавшим от данной угрозы, эксперты рекомендуют проверить жесткие диски своих компьютеров с помощью антивирусного сканера.