PandaLabs обнаружила появление новой
вредоносной программы Zcodec, которая
использует руткит для сокрытия своих
вредоносных действий. Она также изменяет
результаты поиска в интернете и устанавливает
в систему вредоносный код.

Zcodec включен в программу, якобы
устанавливающую кодеки, нужные для
проигрывания определенного
мультимедийного формата. Когда
пользователь собирается установить это
приложение, отображается окно
пользовательской лицензии. Однако кодек не устанавливается,
и программа не ждет принятия или
отклонения пользователем лицензионного
соглашения, поскольку, когда он нажимает
на скачанный файл, Zcodec сразу же
устанавливается в систему. Оказавшись в системе,
код устанавливает руткит так, чтобы
пользователь не мог видеть, какие файлы
запускаются. Таким образом Zcodec
устанавливает два исполняемых файла.
Первый из них модифицирует настройки DNS
на зараженном компьютере, поэтому, когда
пользователь кликает на результаты,
отображенные поисковыми системами (такими,
как Google), отображается другая страница. Эта
тактика используется создателями
программы с целью получения прибыли от систем
«плата за клик», или даже
перенаправления пользователей на страницы,
разработанные для того, чтобы красть
конфиденциальные данные.

Второй исполняемый файл выполняет одно из двух
действий, выбранное случайным образом. В некоторых
случаях он устанавливает трояна Ruins.MB,
разработанного для скачивания в систему
других вредоносных программ. В других
случаях файл непрерывно запускает программу-казино,
спрашивая разрешения пользователя на ее
установку. Однако даже если пользователь
отказывается от установки программы, на рабочем
столе Windows создается иконка, при нажатии на которую
производится установка.

«Частой отличительной чертой
компьютерных атак становится комбинация
различных методик. В данном случае мы видим
социальную инженерию, руткиты, троянов и даже
манипуляцию с настройками компьютера.
Целью создателей является заражение
компьютера, не вызывающее подозрений у владельца», —
говорит Луис Корронс, директор PandaLabs.



Оставить мнение