Cheval de Troie Zlob - Zlob trojan
| Nom commun | Zlob |
|---|---|
| Nom technique |
|
| Type | Malware |
| Sous-type | Spyware |
Le cheval de Troie Zlob , identifié par certains antivirus comme Trojan.Zlob , est un cheval de Troie qui se fait passer pour un codec vidéo requis sous la forme d' ActiveX . Il a été détecté pour la première fois à la fin de 2005, mais n'a commencé à attirer l'attention qu'à la mi-2006.
Une fois installé, il affiche des annonces contextuelles qui ressemblent à de vraies fenêtres contextuelles d' avertissement Microsoft Windows , informant l'utilisateur que son ordinateur est infecté par des logiciels espions . Le fait de cliquer sur ces fenêtres déclenche le téléchargement d'un faux programme anti-spyware (comme Virus Heat et MS Antivirus (Antivirus 2009)) dans lequel le cheval de Troie est caché.
Le cheval de Troie a également été lié au téléchargement de atnvrsinstall.exe qui utilise l'icône du bouclier de sécurité Windows pour donner l'impression qu'il s'agit d'un fichier d'installation antivirus de Microsoft. L'exécution de ce fichier peut faire des ravages sur les ordinateurs et les réseaux. Un symptôme typique est les arrêts ou redémarrages aléatoires de l'ordinateur avec des commentaires aléatoires. Cela est dû aux programmes utilisant le Planificateur de tâches pour exécuter un fichier appelé «zlberfker.exe».
Project Honeypot Spam Domains List (PHSDL) suit et répertorie les domaines de spam . Certains des domaines de la liste sont des redirections vers des sites pornographiques et divers sites de visionnage de vidéos qui affichent un certain nombre de vidéos en ligne. La lecture de vidéos sur ces sites active une demande de téléchargement d'un codec ActiveX qui est un malware . Il empêche l'utilisateur de fermer le navigateur de la manière habituelle. D'autres variantes d'installation de Zlob Trojan se présentent sous la forme d'un fichier Java cab se faisant passer pour une analyse informatique.
Il est prouvé que le cheval de Troie Zlob pourrait être un outil du Russian Business Network ou du moins d'origine russe.
RSPlug, DNSChanger et autres variantes
Le groupe qui a créé Zlob a également créé un cheval de Troie Mac avec des comportements similaires (nommé RSPlug ). Certaines variantes de la famille Zlob, comme le soi-disant « DNSChanger », ajoutent des serveurs de noms DNS non autorisés au registre des ordinateurs Windows et tentent de pirater n'importe quel routeur détecté pour modifier les paramètres DNS, ce qui pourrait rediriger le trafic de sites Web vers d’autres sites Web suspects. DNSChanger a particulièrement attiré l'attention lorsque le FBI américain a annoncé qu'il avait fermé la source du malware fin novembre 2011. Cependant, comme il y avait des millions d'ordinateurs infectés qui perdraient l'accès à Internet si les serveurs du groupe de malwares étaient fermés, le FBI a choisi de convertir les serveurs en serveurs DNS légitimes. Cependant, pour des raisons de coût, ces serveurs ont été programmés pour s'arrêter le matin du 9 juillet 2012, ce qui pourrait entraîner la perte de l'accès à Internet à des milliers d'ordinateurs encore infectés. Cet arrêt du serveur s'est produit comme prévu, bien que les problèmes attendus avec les ordinateurs infectés ne se soient pas matérialisés. À la date de l'arrêt, de nombreux programmes gratuits étaient disponibles pour supprimer le malware Zlob de manière efficace et sans nécessiter de grandes connaissances techniques. Le malware est cependant resté dans la nature et, en 2015, pouvait toujours être trouvé sur des ordinateurs non protégés. Le malware s'auto-répliquait également, ce que le FBI ne comprenait pas entièrement, et les serveurs qui ont été fermés n'étaient peut-être que l'une des sources initiales du malware. Les programmes antivirus actuels sont très efficaces pour détecter et supprimer Zlob et son temps dans la nature semble toucher à sa fin.
Voir également
Les références
Liens externes
- Liste des faux codecs ActiveX Zlob Trojan et autres installateurs Zlob trompeurs
- Liste de 113 faux domaines de codec
- Flash's Security Blog, un blog répertoriant les faux codecs et les logiciels de sécurité malveillants.
- S! Ri.URZ, SmitfraudFix.
- Zlob / VideoAccess / Trojan.Win32.DNSChanger - malekal.com (en)
Forums Anti Zlob Malware
- Forum Geeks to Go
- Forum SWI
- Forum TSG
- dns-ok.gov.au Un site Web du gouvernement australien, qui a la capacité de diagnostiquer si votre ordinateur est infecté par DNSChanger.