Миналата седмица потребители на социални мрежи подадоха сигнали в службата за техническа поддръжка на Доктор Уеб, че нямат възможност да влизат в профилите си. Вместо това в прозореца на браузъра се показва уеб страница със съобщение, че профилът на потребителя в социалната мрежа е блокиран, и предложение за въвеждане в съответното поле на номер на телефона и потвърждаващ код, получен чрез SMS.
Оформлението на уеб страницата и показаният адрес са идентични с оригиналния дизайн и адреса на съответната социална мрежа. В допълнение, на фалшивата уеб страница се показва истинското име на потребителя, в резултат на което много жертви на атаката просто не са забелязали подмяната, смятайки, че техният акаунт действително е пробит и блокиран.
Разследването на Доктор Уеб показва, че инцидентът е станал възможен благодарение на променена от вируси системна библиотека rpcss.dll, която е компонент на услугата за отдалечено извикване на процедури (RPC) в операционни системи Windows. Троянецът, „допълващ” библиотеката със зловреден обект, носи името Trojan.Zekos и може да заразява както 32-битови, така и 64-битови версии на Windows.
Първите версии на въпросния троянец са открити още в началото на 2012 година, но засечената сега зловредна програма се отличава от своите предшественици.
Trojan.Zekos се състои от няколко компонента. Когато бъде пуснат на заразения компютър, троянецът съхранява свое кодирано копие в една от системните папки във вид на файл със случайно име и разширение, отключва защитата Windows File Protection и се опитва да повиши собствените си привилегии в операционната система.
След това Trojan.Zekos модифицира библиотеката rpcss.dll, добавяйки в нея код с основно предназначение да зареди в паметта на компютъра съхраняваното на диска копие на троянеца. В допълнение, Trojan.Zekos модифицира драйвера на протокола TCP/IP (tcpip.sys) с цел да увеличи броя на едновременните TCP-връзки в 1 секунда от 10 до 1 000 000.
Троянецът притежава развита зловредна функционалност. Една от функциите на програмата е да прихваща DNS заявките от заразения компютър за процеси в браузъри Internet Explorer, Mozilla Firefox, Chrome, Opera и Safari. При опит на потребителя да посети сайт на популярна социална мрежа, бразуърът получава в отговор на DNS заявката некоректен IP адрес и вместо търсения сайт потребителят вижда принадлежаща на киберпрестъпниците уеб страница.
При това, в адресния ред на браузъра се показва правилният URL. Освен това Trojan.Zekos блокира достъпа до сайтовете на повечето антивирусни компании и сървърите на Microsoft.