Troyano Zlob

Software de caballo de Troya

El troyano Zlob , identificado por algunos antivirus como Trojan.Zlob , es un troyano que se hace pasar por un códec de vídeo obligatorio en forma de ActiveX . Se detectó por primera vez a finales de 2005, pero recién empezó a ganar atención a mediados de 2006. ^[1]

Una vez instalado, muestra anuncios emergentes que parecen similares a las advertencias reales de Microsoft Windows , informando al usuario de que su equipo está infectado con software espía . Al hacer clic en estas ventanas emergentes, se activa la descarga de un programa antispyware falso (como Virus Heat y MS Antivirus (Antivirus 2009)) en el que se oculta el troyano. ^[1]

El troyano también ha sido vinculado con la descarga de atnvrsinstall.exe, que utiliza el icono del escudo de seguridad de Windows para que parezca un archivo de instalación de antivirus de Microsoft. La ejecución de este archivo puede causar estragos en los equipos y las redes. Un síntoma típico es el apagado o reinicio aleatorios del equipo con comentarios aleatorios. ^{[ Se necesita más explicación ]} Esto se debe a que los programas utilizan el Programador de tareas para ejecutar un archivo llamado "zlberfker.exe".

La lista de dominios spam del proyecto Honeypot (PHSDL) ^[2] rastrea y cataloga los dominios spam . Algunos de los dominios de la lista son redirecciones a sitios pornográficos y varios sitios de visualización de videos que muestran una serie de videos en línea. La reproducción de videos en estos sitios activa una solicitud para descargar un códec ActiveX que es malware . Impide que el usuario cierre el navegador de la manera habitual. Otras variantes de la instalación del troyano Zlob vienen en forma de un archivo cab de Java que se hace pasar por un escáner de computadora. ^[3]

Hay evidencia de que el troyano Zlob podría ser una herramienta de la Red Empresarial Rusa ^[4] o al menos de origen ruso. ^[5]

RSPlug, DNSChanger y otras variantes

El grupo que creó Zlob también ha creado un troyano para Mac con comportamientos similares (llamado RSPlug ). ^[6] Algunas variantes de la familia Zlob, como el llamado " DNSChanger ", añaden servidores de nombres DNS falsos al registro de ordenadores basados ​​en Windows ^[7] e intentan piratear cualquier enrutador detectado para cambiar la configuración de DNS, lo que podría redirigir el tráfico de sitios web legítimos a otros sitios web sospechosos. ^[8] DNSChanger en particular ganó mucha atención cuando el FBI de EE. UU. anunció que había cerrado la fuente del malware a fines de noviembre de 2011. ^[9] Sin embargo, como había millones de computadoras infectadas que perderían el acceso a Internet si se apagaban los servidores del grupo de malware, el FBI optó por convertir los servidores en servidores DNS legítimos. Sin embargo, debido a preocupaciones de costos, estos servidores se programaron para apagarse en la mañana del 9 de julio de 2012, lo que podría causar que miles de computadoras aún infectadas perdieran el acceso a Internet. ^[10] Este apagado del servidor ocurrió como estaba planeado, aunque los problemas esperados con las computadoras infectadas no se materializaron. En el momento del cierre, había muchos programas gratuitos disponibles que eliminaban el malware Zlob de manera efectiva y sin requerir grandes conocimientos técnicos. Sin embargo, el malware seguía circulando y en 2015 todavía se podía encontrar en computadoras desprotegidas. El malware también se auto-replicaba, algo que el FBI no comprendió del todo, y los servidores que se cerraron pueden haber sido solo una de las fuentes iniciales del malware. Los programas antivirus actuales son muy efectivos para detectar y eliminar Zlob y su tiempo en circulación parece estar llegando a su fin. ^{[ cita requerida ] [ necesita actualización ]}

Véase también

• Secuestrador de búsqueda diaria
• Trojan.Win32.DNSChanger

Referencias

1. "The ZLOB Show: Trojan Poses as Fake Video Codec, Loads More Threats" (El programa ZLOB: un troyano se hace pasar por un códec de vídeo falso y conlleva muchas más amenazas). Trend Micro . Consultado el 26 de noviembre de 2007 .
2. Lista de dominios spam del proyecto Honeypot
3. Documentación sobre intentos de secuestro de spam en el foro del troyano PHSDL Zlob
4. "RBN – Códecs falsos".
5. "TCP - Проект Киберкультуры | Equipo Zlob".
6. Tung, Liam (8 de noviembre de 2007). "El troyano Mac que se multiplica no es una epidemia todavía". CNET News . Consultado el 26 de noviembre de 2007 .
7. Podrezov, Alexey (7 de noviembre de 2005). «Descripciones de virus de F-Secure: DNSChanger». F-Secure Corporation . Consultado el 26 de noviembre de 2007 .
8. Vincentas (9 de julio de 2013). "Troyano Zlob en SpyWareLoop.com". Spyware Loop . Consultado el 28 de julio de 2013 .
9. "Desmantelan red cibernética internacional que infectó millones de computadoras". FBI de EE. UU . 9 de noviembre de 2011. Consultado el 6 de junio de 2012 .
10. Kerr, Dara (5 de junio de 2012). «Facebook advierte a los usuarios del fin de Internet a través de DNSChanger». CNET . Consultado el 6 de junio de 2012 .

Enlaces externos

• Lista de códecs falsos del troyano ActiveX Zlob y otros instaladores engañosos de Zlob
• Listado de 113 dominios de códecs falsos
• Blog de seguridad de Flash, un blog que enumera códecs falsos y software de seguridad fraudulento.
• S!Ri.URZ, Solución al problema del fraude.
• Zlob/VideoAccess/Trojan.Win32.DNSChanger – malekal.com (fr)

Foros sobre malware anti-Zlob

• Foro de Geeks to Go
• Foro SWI
• Foro TSG
• dns-ok.gov.au Un sitio web del gobierno australiano, que tiene la capacidad de diagnóstico para determinar si su computadora está infectada por DNSChanger.