El troyano Zlob , identificado por algunos antivirus como Trojan.Zlob , es un caballo de Troya que se hace pasar por un códec de vídeo obligatorio en forma de ActiveX . Se detectó por primera vez a fines de 2005, pero recién comenzó a llamar la atención a mediados de 2006. [1]
Nombre común | Zlob |
---|---|
Nombre técnico |
|
Tipo | Software malicioso |
Subtipo | Software espía |
Una vez instalado, muestra anuncios emergentes que parecen similares a ventanas emergentes de advertencia de Microsoft Windows reales , informando al usuario que su computadora está infectada con software espía . Al hacer clic en estas ventanas emergentes, se activa la descarga de un programa anti-spyware falso (como Virus Heat y MS Antivirus (Antivirus 2009)) en el que se oculta el caballo de Troya. [1]
El troyano también se ha vinculado a la descarga de atnvrsinstall.exe, que usa el icono del escudo de seguridad de Windows para que parezca un archivo de instalación antivirus de Microsoft. Ejecutar este archivo puede causar estragos en computadoras y redes. Un síntoma típico son los apagados o reinicios aleatorios de la computadora con comentarios aleatorios. [ se necesita más explicación ] Esto se debe a que los programas utilizan el Programador de tareas para ejecutar un archivo llamado "zlberfker.exe".
Project Honeypot Spam Domains List (PHSDL) [2] rastrea y cataloga los dominios de spam . Algunos de los dominios de la lista son redireccionamientos a sitios de pornografía y varios sitios de visualización de videos que muestran varios videos en línea. La reproducción de videos en estos sitios activa una solicitud para descargar un códec ActiveX que es malware . Evita que el usuario cierre el navegador de la forma habitual. Otras variantes de la instalación del troyano Zlob vienen en forma de un archivo cab de Java que se hace pasar por un escaneo de computadora. [3]
Existe evidencia de que el troyano Zlob podría ser una herramienta de Russian Business Network [4] o al menos de origen ruso. [5]
RSPlug, DNSChanger y otras variantes
El grupo que creó Zlob también creó un troyano Mac con comportamientos similares (llamado RSPlug ). [6] Algunas variantes de la familia Zlob, como el llamado " DNSChanger ", agregan servidores de nombres DNS deshonestos al registro de computadoras con Windows [7] e intentan piratear cualquier enrutador detectado para cambiar la configuración de DNS, potencialmente Redirigir el tráfico de sitios web legítimos a otros sitios web sospechosos. [8] DNSChanger, en particular, ganó una atención significativa cuando el FBI de EE. UU. Anunció que había cerrado la fuente del malware a fines de noviembre de 2011. [9] Sin embargo, como había millones de computadoras infectadas que perderían el acceso a Internet si el malware Los servidores del grupo se cerraron, el FBI optó por convertir los servidores en servidores DNS legítimos. Sin embargo, debido a preocupaciones por los costos, estos servidores se apagaron en la mañana del 9 de julio de 2012, lo que podría causar que miles de computadoras aún infectadas perdieran el acceso a Internet. [10] Este cierre del servidor ocurrió según lo planeado, aunque los problemas esperados con las computadoras infectadas no se materializaron. En la fecha del cierre, había muchos programas gratuitos disponibles que eliminaban el malware Zlob de manera efectiva y sin requerir grandes conocimientos técnicos. Sin embargo, el malware permaneció en estado salvaje y, en 2015, todavía se podía encontrar en equipos desprotegidos. El malware también se auto-replicaba, algo que el FBI no entendió por completo, y es posible que los servidores que se cerraron solo hayan sido una de las fuentes iniciales del malware. Los programas antivirus actuales son muy efectivos para detectar y eliminar Zlob y su tiempo en la naturaleza parece estar llegando a su fin. [ cita requerida ] [ necesita actualización ]
Ver también
Referencias
- ^ a b "The ZLOB Show: Trojan se hace pasar por un códec de video falso, carga más amenazas" . Trend Micro . Consultado el 26 de noviembre de 2007 .
- ^ Lista de dominios de spam de Project Honeypot
- ^ Documentación de intento de secuestro de spam del foro troyano PHSDL Zlob
- ^ http://rbnexploit.blogspot.com/2007/11/rbn-fake-codecs.html
- ^ http://tcp.narod.ru/gr0031.htm
- ^ Tung, Liam (8 de noviembre de 2007). "Multiplicar el troyano Mac todavía no es una epidemia" . Noticias CNET . Consultado el 26 de noviembre de 2007 .
- ^ Podrezov, Alexey (7 de noviembre de 2005). "Descripciones de virus F-Secure: DNSChanger" . Corporación F-Secure . Consultado el 26 de noviembre de 2007 .
- ^ Vincentas (9 de julio de 2013). "Troyano Zlob en SpyWareLoop.com" . Bucle de software espía . Consultado el 28 de julio de 2013 .
- ^ "Anillo cibernético internacional que infectó millones de computadoras desmanteladas" . FBI de Estados Unidos . 9 de noviembre de 2011 . Consultado el 6 de junio de 2012 .
- ^ Kerr, Dara (5 de junio de 2012). "Facebook advierte a los usuarios del fin de Internet a través de DNSChanger" . CNET . Consultado el 6 de junio de 2012 .
enlaces externos
- Lista de códecs falsos del troyano ActiveX Zlob y otros instaladores de Zlob engañosos
- Listado de 113 dominios de códecs falsos
- Blog de seguridad de Flash, un blog que enumera códecs falsos y software de seguridad fraudulento.
- S! Ri.URZ, SmitfraudFix.
- Zlob / VideoAccess / Trojan.Win32.DNSChanger - malekal.com (fr)
Foros de Anti Zlob Malware
- Foro Geeks to Go
- Foro SWI
- Foro TSG
- dns-ok.gov.au Un sitio web del gobierno australiano, que tiene la capacidad de diagnóstico para determinar si su computadora está infectada por DNSChanger.