Trojan.Zekos

Trojan.Zekos 15.04.2013
От российской компании «Доктор Веб», производящей антивирусные защитные средства информации, была получена информация о существующей угрозе заражения. Такую опасность в себе несет новая версия вредоносной программы Trojan.Zekos. Она перехватывает DNS-запросы на инфицированном компьютере. Указанная программа применяется вирусными писателями для проведения фишинговых атак. Результатом такой работы является замена запрошенных пользователем сайтов на принадлежащие злоумышленниками страницы.
Недавно компания «Доктор Веб» начала регистрировать заявки от потенциальных пользователей. Они жалуются на отсутствие возможности пользоваться сайтами социальных сетей. В окне браузера пользователю сообщалось о блокировке его веб-страницы с предложением введения в указанную строку личного номера телефона. 
Также работниками компании было отслежено следующее. Внешний вид веб-страницы и адрес в строке браузера были аналогичны оригинальному дизайну и адресу соответствующей социальной сети в Интернете. Так как подделаная веб-страница носила настоящее имя, многие пользователи не замечали ее подмену. Поэтому они считали информацию, размещенную на странице, достоверной.
Вирусные аналитики компании «Доктор Веб» провели тщательное расследование по волнующему вопросу и обнаружили виновника инцидента - обновленную версию вредоносной программы Trojan.Zekos. Она входит в состав видоизмененной вирусом системной библиотеки rpcss.dll. Такая вредоносная программа легко заражает разные версии Windows.
В состав Trojan.Zekos входит несколько компонентов. Если такую программу запустить на зараженном вирусами компьютере, она будет сохранять свою копию в системной папке. Эта зашифрованная копия имеет вид файла с любым именем и расширением. Она способна отключать защиту файлов Windows File Protection и повышать свои привилегии в операционной системе. После модифицирования библиотеки rpcss.dll, вредоносная программа Trojan.Zekos добавляет в нее код. В функцию этого кода входит загрузка копии программы, хранящейся на диске компьютера. 
Поэтому посетитель сайта социальной сети в ответ на DNS-запрос получает некорректный IP-адрес ресурса и видит поддельную злоумышленниками веб-страницу. 
Сделав окончательные выводы, компания «Доктор Веб» отправила в вирусные базы сигнатуру угрозы заражения вирусом и алгоритм лечения результатов заражений вредоносной программы Trojan.Zekos. Пострадавшие пользователи должны воспользоваться антивирусным сканером либо лечащей утилитой Dr.Web CureIt на предмет наличия вирусов на жестких дисков своих компьютеров.