Новая вредоносная программа, изменяющая результаты поиска в Интернете и использующая руткит для своей маскировки.
30 08 2006 08:20

Она также способна скачивать трояна Ruins.MB, который устанавливает на компьютер другие вредоносные программы, или непрерывно запускает программу ‘казино’

PandaLabs (www.viruslab.ru) обнаружила появление новой вредоносной программы Zcodec, которая использует руткит для сокрытия своих вредоносных действий. Она также изменяет результаты поиска в Интернете и устанавливает в систему вредоносный код.

Zcodec включен в программу, якобы устанавливающую кодеки, нужные для проигрывания определенного мультимедийного формата. Когда пользователь собирается установить это приложение, отображается окно пользовательской лицензии. Однако кодек не устанавливается, и программа не ждет принятия или отклонения пользователем лицензионного соглашения, поскольку, когда он нажимает на скачанный файл, Zcodec сразу же устанавливается в систему.

Оказавшись в системе, код устанавливает руткит (программа, разработанная для сокрытия процессов, файлов и записей реестра), так чтобы пользователь не мог видеть, какие файлы запускаются. Таким образом, Zcodec устанавливает два исполняемых файла. Первый из них модифицирует настройки DNS на зараженном компьютере, поэтому, когда пользователь щелкает на результатах, отображенных поисковыми системами (такими как Google), отображается другая страница. Эта тактика используется создателями программы с целью получения прибыли от систем ‘плата за клик’, или даже перенаправления пользователей на страницы, разработанные для того, чтобы красть конфиденциальные данные.

Второй исполняемый файл выполняет одно из двух действий, выбранное случайным образом. В некоторых случаях, он устанавливает трояна Ruins.MB, разработанного для скачивания в систему других вредоносных программ. В других случаях файл непрерывно запускает программу-казино, спрашивая разрешения пользователя на ее установку. Однако даже если пользователь отказывается от установки программы, на рабочем столе Windows создается иконка, при нажатии на которой производится установка.

Для защиты от такого вида вредоносной программы, кроме обновленного антивируса, совмещающего реагирующие и предупреждающие технологии для обнаружения известных и неизвестных угроз, также важно проверять источник любых скачиваемых в систему файлов, а также обращать пристальное внимание на лицензионные соглашения, отображаемые при установке программ.

Источник