El troyano Zlob , identificado por algunos antivirus como Trojan.Zlob , es un troyano que se hace pasar por un códec de vídeo obligatorio en forma de ActiveX . Se detectó por primera vez a fines de 2005, pero solo comenzó a llamar la atención a mediados de 2006. [1]
Una vez instalado, muestra anuncios emergentes similares a las ventanas emergentes de advertencia reales de Microsoft Windows , informando al usuario que su computadora está infectada con software espía . Al hacer clic en estas ventanas emergentes, se activa la descarga de un programa antispyware falso (como Virus Heat y MS Antivirus (Antivirus 2009)) en el que se oculta el caballo de Troya. [1]
El troyano también se ha relacionado con la descarga de atnvrsinstall.exe, que utiliza el icono del escudo de seguridad de Windows para que parezca un archivo de instalación antivirus de Microsoft. Hacer que este archivo se ejecute puede causar estragos en las computadoras y las redes. Un síntoma típico son los apagados o reinicios aleatorios de la computadora con comentarios aleatorios. [ Se necesita más explicación ] Esto se debe a que los programas usan el Programador de tareas para ejecutar un archivo llamado "zlberfker.exe".
Project Honeypot Spam Domains List (PHSDL) [2] rastrea y cataloga los dominios de spam . Algunos de los dominios en la lista son redireccionamientos a sitios pornográficos y varios sitios de visualización de videos que muestran una cantidad de videos en línea. Reproducir videos en estos sitios activa una solicitud para descargar un códec ActiveX que es malware . Impide que el usuario cierre el navegador de la forma habitual. Otras variantes de la instalación del troyano Zlob vienen en forma de un archivo cab de Java disfrazado de escaneo de computadora. [3]
Existe evidencia de que el troyano Zlob podría ser una herramienta de Russian Business Network [4] o al menos de origen ruso. [5]
El grupo que creó Zlob también creó un troyano para Mac con comportamientos similares (llamado RSPlug ). [6] Algunas variantes de la familia Zlob, como el llamado " DNSChanger ", agregan servidores de nombres DNS no autorizados al registro de computadoras basadas en Windows [7] e intentan piratear cualquier enrutador detectado para cambiar la configuración de DNS, potencialmente redirigir el tráfico de sitios web legítimos a otros sitios web sospechosos. [8] DNSChanger, en particular, llamó mucho la atención cuando el FBI de EE. UU . anunció que había cerrado la fuente del malware a fines de noviembre de 2011. [9]Sin embargo, como había millones de computadoras infectadas que perderían el acceso a Internet si se cerraban los servidores del grupo de malware, el FBI optó por convertir los servidores en servidores DNS legítimos. Sin embargo, debido a problemas de costos, estos servidores se apagaron la mañana del 9 de julio de 2012, lo que podría causar que miles de computadoras aún infectadas perdieran el acceso a Internet. [10]Este apagado del servidor ocurrió según lo planeado, aunque los problemas esperados con las computadoras infectadas no se materializaron. En la fecha del cierre, había muchos programas gratuitos disponibles que eliminaban el malware Zlob de manera efectiva y sin necesidad de grandes conocimientos técnicos. Sin embargo, el malware permaneció en estado salvaje y, en 2015, todavía se podía encontrar en computadoras desprotegidas. El malware también se autorreplicaba, algo que el FBI no entendió completamente, y los servidores que se cerraron pueden haber sido solo una de las fuentes iniciales del malware. Los programas antivirus actuales son muy efectivos para detectar y eliminar Zlob y su tiempo en la naturaleza parece estar llegando a su fin. [ cita requerida ] [ necesita actualización ]