PandaLabs обнаружила появление новой вредоносной программы Zcodec, которая использует руткит для сокрытия своих вредоносных действий. Она также изменяет результаты поиска в Интернете и устанавливает в систему вредоносный код.
Zcodec включен в программу, якобы устанавливающую кодеки, нужные для проигрывания определенного мультимедийного формата. Когда пользователь собирается установить это приложение, отображается окно пользовательской лицензии. Однако кодек не устанавливается, и программа не ждет принятия или отклонения пользователем лицензионного соглашения, поскольку, когда он нажимает на скачанный файл, Zcodec сразу же устанавливается в систему.
Оказавшись в системе, код устанавливает руткит (программа, разработанная для сокрытия процессов, файлов и записей реестра), так чтобы пользователь не мог видеть, какие файлы запускаются. Таким образом, Zcodec устанавливает два исполняемых файла. Первый из них модифицирует настройки DNS на зараженном компьютере, поэтому, когда пользователь щелкает на результатах, отображенных поисковыми системами (такими как Google), отображается другая страница. Эта тактика используется создателями программы с целью получения прибыли от систем ‘плата за клик’, или даже перенаправления пользователей на страницы, разработанные для того, чтобы красть конфиденциальные данные.
Второй исполняемый файл выполняет одно из двух действий, выбранное случайным образом. В некоторых случаях, он устанавливает трояна Ruins.MB, разработанного для скачивания в систему других вредоносных программ. В других случаях файл непрерывно запускает программу-казино, спрашивая разрешения пользователя на ее установку. Однако даже если пользователь отказывается от установки программы, на рабочем столе Windows создается иконка, при нажатии на которой производится установка.
“Частой отличительной чертой компьютерных атак становится комбинация различных методик. В данном случае мы видим социальную инженерию, руткиты, троянов и даже манипуляцию с настройками компьютера. Целью создателей является заражение компьютера, не вызывая подозрений у владельца. Учитывая то, что таких вредоносных программ в Интернете огромное множество, важно защитить системы хорошим антивирусом, который беспристрастно проверяет каждый файл на компьютере,” объясняет Луис Корронс, директор PandaLabs.
Для защиты от такого вида вредоносной программы, кроме обновленного антивируса, совмещающего реагирующие и предупреждающие технологии для обнаружения известных и неизвестных угроз, также важно проверять источник любых скачиваемых в систему файлов, а также обращать пристальное внимание на лицензионные соглашения, отображаемые при установке программ.
Инф. СyberSecurity
e-news.com.ua