troyano zlob

Software de caballo de Troya

El troyano Zlob , identificado por algunos antivirus como Trojan.Zlob , es un caballo de Troya que se hace pasar por un códec de vídeo requerido en forma de ActiveX . Se detectó por primera vez a finales de 2005, pero no empezó a llamar la atención hasta mediados de 2006. ^[1]

Una vez instalado, muestra anuncios emergentes que parecen similares a ventanas emergentes de advertencia reales de Microsoft Windows , informando al usuario que su computadora está infectada con software espía . Al hacer clic en estas ventanas emergentes se activa la descarga de un programa antispyware falso (como Virus Heat y MS Antivirus (Antivirus 2009)) en el que el caballo de Troya está oculto. ^[1]

El troyano también se ha vinculado a la descarga de atnvrsinstall.exe, que utiliza el icono del escudo de seguridad de Windows para que parezca un archivo de instalación antivirus de Microsoft. La ejecución de este archivo puede causar estragos en computadoras y redes. Un síntoma típico son los apagados o reinicios aleatorios de la computadora con comentarios aleatorios. ^{[ Se necesita más explicación ]} Esto se debe a que los programas utilizan el Programador de tareas para ejecutar un archivo llamado "zlberfker.exe".

Project Honeypot Spam Domains List (PHSDL) ^[2] rastrea y cataloga dominios de spam . Algunos de los dominios de la lista son redirecciones a sitios pornográficos y a varios sitios para ver vídeos que muestran una serie de vídeos en línea. La reproducción de vídeos en estos sitios activa una solicitud para descargar un códec ActiveX que es malware . Impide que el usuario cierre el navegador de la forma habitual. Otras variantes de la instalación del troyano Zlob vienen en forma de un archivo cab Java disfrazado de escaneo de computadora. ^[3]

Hay pruebas de que el troyano Zlob podría ser una herramienta de la Russian Business Network ^[4] o al menos de origen ruso. ^[5]

RSPlug, DNSChanger y otras variantes

El grupo que creó Zlob también creó un troyano para Mac con comportamientos similares (llamado RSPlug ). ^[6] Algunas variantes de la familia Zlob, como el llamado " DNSChanger ", agregan servidores de nombres DNS falsos al registro de computadoras basadas en Windows ^[7] e intentan piratear cualquier enrutador detectado para cambiar la configuración de DNS, potencialmente Redirigir el tráfico desde sitios web legítimos a otros sitios web sospechosos. ^[8] DNSChanger en particular obtuvo una atención significativa cuando el FBI de EE. UU. anunció que había cerrado la fuente del malware a finales de noviembre de 2011. ^[9] Sin embargo, como había millones de computadoras infectadas que perderían el acceso a Internet si el malware Los servidores del grupo fueron cerrados, el FBI optó por convertir los servidores en servidores DNS legítimos. Sin embargo, debido a preocupaciones de costos, estos servidores se cerraron la mañana del 9 de julio de 2012, lo que podría causar que miles de computadoras aún infectadas perdieran el acceso a Internet. ^[10] Este cierre del servidor se produjo según lo planeado, aunque los problemas esperados con las computadoras infectadas no se materializaron. En el momento del cierre, había muchos programas gratuitos disponibles que eliminaban el malware Zlob de forma eficaz y sin necesidad de grandes conocimientos técnicos. Sin embargo, el malware permaneció en estado salvaje y, en 2015, todavía se podía encontrar en ordenadores desprotegidos. El malware también se autorreplicaba, algo que el FBI no entendió del todo, y es posible que los servidores que se cerraron solo hayan sido una de las fuentes iniciales del malware. Los programas antivirus actuales son muy eficaces para detectar y eliminar Zlob y su tiempo en la naturaleza parece estar llegando a su fin. ^{[ cita necesaria ] [ necesita actualización ]}

Ver también

• Secuestrador de búsqueda diaria
• Trojan.Win32.DNSChanger
• W32.Myzor.FK@yf

Referencias

1. "The ZLOB Show: el troyano se hace pasar por un códec de vídeo falso y carga más amenazas". Tendencia Micro . Consultado el 26 de noviembre de 2007 .
2. Lista de dominios de spam del proyecto Honeypot
3. Documentación sobre intento de secuestro de spam del foro de troyanos PHSDL Zlob
4. "RBN: códecs falsos".
5. "TCP - Проект Киберкультуры | Equipo Zlob".
6. Tung, Liam (8 de noviembre de 2007). "La multiplicación del troyano Mac aún no es una epidemia". Noticias CNET . Consultado el 26 de noviembre de 2007 .
7. Podrezov, Alexey (7 de noviembre de 2005). "Descripciones de virus F-Secure: DNSChanger". Corporación F-Secure . Consultado el 26 de noviembre de 2007 .
8. Vincentas (9 de julio de 2013). "Troyano Zlob en SpyWareLoop.com". Bucle de software espía . Consultado el 28 de julio de 2013 .
9. "Anillo cibernético internacional que infectó a millones de computadoras desmanteladas". FBI de EE. UU . 9 de noviembre de 2011 . Consultado el 6 de junio de 2012 .
10. Kerr, Dara (5 de junio de 2012). "Facebook advierte a los usuarios del fin de Internet a través de DNSChanger". CNET . Consultado el 6 de junio de 2012 .

enlaces externos

• Lista de códecs falsos del troyano ActiveX Zlob y otros instaladores engañosos de Zlob
• Listado de 113 dominios de códecs falsos
• Blog de seguridad de Flash, un blog que enumera códecs falsos y software de seguridad fraudulento.
• S!Ri.URZ, SmitfraudFix.
• Zlob/VideoAccess/Trojan.Win32.DNSChanger – malekal.com (fr)

Foros de malware anti-Zlob

• Foro Geeks to Go
• Foro SWI
• Foro TSG
• dns-ok.gov.au Un sitio web del gobierno australiano, que tiene la capacidad de diagnóstico para determinar si su computadora está infectada por DNSChanger.