Троянец с перехватом DNS-запросов
Компания «Доктор Веб» сообщила об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой – перехват DNS-запросов на инфицированном компьютере. Этот механизм применяется для проведения фишинговых атак: на зараженной машине вместо запрошенных пользователем сайтов могут отображаться принадлежащие злоумышленникам Web-страницы.
Угроза была выявлена, когда в службу технической поддержки «Доктор Веб» стали поступать заявки от пользователей, которые не смогли зайти на сайты социальных сетей. Вместо соответствующих ресурсов в окне браузера демонстрировались Web-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Вот примеры текстов, опубликованных злоумышленниками на поддельных Web-страницах, имитирующих «ВКонтакте» и «Одноклассники»:
«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».
«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».
Оформление подложных Web-страниц и адрес в строке браузера оказывались идентичны оригинальному дизайну и URL соответствующей социальной сети. Более того, на поддельной Web-странице демонстрировалось настоящее имя пользователя, поэтому многие жертвы даже не замечали подмены, считая, что их учетная запись в соцсети действительно была взломана.
Расследование, проведенное аналитиками «Доктор Веб», показало, что причиной стала видоизмененная вирусом системная библиотека rpcss.dll – компонент службы удаленного вызова процедур (RPC) в ОС семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она способна заражать как 32-, так и 64-разрядные версии Windows. Первые версии данного троянца были найдены еще в начале 2012 года, однако эта модификация вредоносной программы обладает некоторыми отличиями от предшественников.
Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, он сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в ОС. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное назначение которого – загрузка в память компьютера хранящейся на диске копии троянца. Trojan.Zekos также модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в секунду с 10 до миллиона.
Trojan.Zekos обладает чрезвычайно развитым вредоносным функционалом. Одна из возможностей вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. При попытке, например, зайти на сайт социальной сети браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу, но в адресной строке браузера при этом будет демонстрироваться правильный URL. Дополнительно Trojan.Zekos блокирует доступ к сайтам большинства антивирусных компаний и серверам Microsoft.