Миналата седмица потребители на социални мрежи подадоха сигнали в службата за техническа поддръжка на Доктор Уеб, че нямат възможност да влизат в профилите си.
Вместо това в прозореца на браузъра се показва уеб страница със съобщение, че профилът на потребителя в социалната мрежа е блокиран, и предложение за въвеждане в съответното поле на номер на телефона и потвърждаващ код, получен чрез SMS, съобщава <a href="https://technews.bg/">technews.bg/</a>.<br /> <br /> Оформлението на уеб страницата и показаният адрес са идентични с оригиналния дизайн и адреса на съответната социална мрежа. В допълнение, на фалшивата уеб страница се показва истинското име на потребителя, в резултат на което много жертви на атаката просто не са забелязали подмяната, смятайки, че техният акаунт действително е пробит и блокиран.<br /> <br /> Разследването на Доктор Уеб показва, че инцидентът е станал възможен благодарение на променена от вируси системна библиотека rpcss.dll, която е компонент на услугата за отдалечено извикване на процедури (RPC) в операционни системи Windows. Троянецът, &bdquo;допълващ&rdquo; библиотеката със зловреден обект, носи името Trojan.Zekos и може да заразява както 32-битови, така и 64-битови версии на Windows.<br /> <br /> Първите версии на въпросния троянец са открити още в началото на 2012 година, но засечената сега зловредна програма се отличава от своите предшественици.<br /> Trojan.Zekos се състои от няколко компонента. <br /> <br /> Когато бъде пуснат на заразения компютър, троянецът съхранява свое кодирано копие в една от системните папки във вид на файл със случайно име и разширение, отключва защитата Windows File Protection и се опитва да повиши собствените си привилегии в операционната система.<br /> <br /> След това Trojan.Zekos модифицира библиотеката rpcss.dll, добавяйки в нея код с основно предназначение да зареди в паметта на компютъра съхраняваното на диска копие на троянеца. В допълнение, Trojan.Zekos модифицира драйвера на протокола TCP/IP (tcpip.sys) с цел да увеличи броя на едновременните TCP-връзки в 1 секунда от 10 до 1 000 000.<br /> <br /> Троянецът притежава развита зловредна функционалност. Една от функциите на програмата е да прихваща DNS заявките от заразения компютър за процеси в браузъри Internet Explorer, Mozilla Firefox, Chrome, Opera и Safari. <br /> <br /> При опит на потребителя да посети сайт на популярна социална мрежа, бразуърът получава в отговор на DNS заявката некоректен IP адрес и вместо търсения сайт потребителят вижда принадлежаща на киберпрестъпниците уеб страница.<br /> <br /> При това, в адресния ред на браузъра се показва правилният URL. Освен това Trojan.Zekos блокира достъпа до сайтовете на повечето антивирусни компании и сървърите на Microsoft. /БЛИЦ<br /> <br />