На днях довелось встретиться, как выяснилось, с новой версией трояна Trojan.Zekos.
Особенностью новой версии трояна является то, что пользователь перенаправляется с реального интернет-ресурса на веб-страницу с сообщением, что его профиль в социальной сети заблокирован. Как утверждают в пресс-службе «Доктор Веб», троян создаёт страницы имитирующие «ВКонтакте» и «Одноклассники». (Стоит иметь ввиду, что Социальные сети рассказывают о пользователе больше, чем может предположить себе пользователь…) Однако моя практика общения с данным трояном говорит о том, что помимо указанных сайтов создаются копии страниц Майл.ру, а также Яндекса. Помимо этого троян блокирует доступ к сайтам различных антивирусных компаний, а так же службе обновления Microsoft.
Специалисты компании «Доктор Веб» выяснили, что виновником этой переадресации становится видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. Троян, выполняющий изменение этой библиотеки является вредоносным объектом - названный Trojan.Zekos.
«Одна из функций рассматриваемого трояна — перехват DNS-запросов на инфицированном компьютере для процессов всех интернет браузеров (таких как Microsoft Internet Explorer, Opera, Mozilla Firefox, Safari, Chrome и др. )
В результате этого, при вашей попытке посетить один из указанных выше сайтов, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо запрашиваемого сайта пользователь увидит принадлежащую преступникам веб-страницу.
ВНИМАНИЕ: При этом в адресной строке браузера будет отображаться правильный URL-адрес. (Что достаточно сильно может сбить с толку)
Будьте бдительны ведь вместо страницы своего профиля в «Одноклассниках», в “Моём Мире” или “ВКонтакте” вы можете увидеть поддельную веб-страницу, похожую по дизайну на оригинальную, с сообщением о том, что профиль заблокирован, и предложением для разблокировки ввести в соответствующее поле номер телефона и получить подтверждающий код в ответном СМС. Имейте ввиду, что на поддельной странице будет даже указано ваше настоящее имя, ну или имя владельца страницы.
Вот возможный вариант текста таких сообщений:
«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».
ВНИМАНИЕ: Причём в графе для ввода телефона заранее стоит +7 (код России) и других кодов ввести нельзя!!!!

А Яндекс выдаёт, что-то типа того что “С вашего IP зафиксировано множество обращений похожих на автоматические, мы вынуждены временно заблокировать доступ к поиску. Чтобы разблокировать введите свой номер телефона (имейте ввиду, что при появлении такого сообщения в реальности требуется только ввести капчу) и также принимаются телефоны только Российские!!!
И ещё одна особенность: когда находясь на территории Украины пишешь в адресной строке yandex.ru, то строка автоматически подменяется на yandex.ua, а при инфицировании компьютера этого не происходит!
Вот как выглядит реальная страница от Яндекса:

В некоторых заметках предлагается воспользоваться одной из лечащих утилит, но если вы читали заметку выше – доступ к антивирусным сайтам заблокирован и если у вас нет второго не инфицированного ПК – это не к чему не приведёт! А использование штатного антивируса на компьютере который уже заражён пользы не принесёт. (Это всё равно, что пытаться предохраняться от какого-то заболевания когда ты уже болен!!!)
И наверно не стоит напоминать, что при отправке своего номера телефона вы рискуете остаться как минимум без денег на телефоне!!! Помните, что это не единственный вид мошенничества с использование мобильных телефонов (Интернет-мошенники похищают деньги с помощью СМС-рассылок).
Если вы самостоятельно не можете справиться с разблокировкой компьютера, то в Харькове можете обратиться ко мне за помощью!