Zlob, также известный как Trojan. Zlob — троянская программа, маскирующаяся под видеокодек в формате ActiveX. Впервые был обнаружен в конце 2005 года, но начал привлекать внимание общественности только в середине 2006 года[1] . После заражения устройства, кодек начинает отображать всплывающие окна с предупреждением о заражении компьютера пользователя шпионским ПО. Щелчок по данным всплывающим окнам запускает загрузку лжеантивируса, в котором и скрыт троян[1].
Вирус также связан с загрузкой файла atnvrsinstall.exe, мимикрирующим под установочный файл антивируса от Microsoft. Одним из последствий запуска этого файла является случайное выключение или перезагрузка компьютера со случайными комментариями. Это связано с использованием планировщика заданий для запуска другого файла с именем «zlberfker.exe».
Project Honeypot (PHSDL)[2], занимающийся отслеживанием и каталогизированием доменов спама, выявил источники распространения вируса. Некоторые из доменов в списке перенаправляют на порносайты и различные видеохостинги, показывающих несколько встроенных видео. Воспроизведение видео на этих сайтах активирует запрос на загрузку кодека ActiveX, являющегося вредоносным ПО, таким образом не позволяя пользователю закрыть браузер обычным образом. Другие варианты установки трояна Zlob представляют собой CAB-файл Java, маскирующийся под сканирование компьютера на предмет наличия вирусов[3].
Есть свидетельства того, что троян Zlob может быть инструментом Russian Business Network[4] или, по меньшей мере, иметь российское происхождение[5].
Создатели Zlob, также создали трояна для MacOS под названием RSPlug[англ.][6]. Некоторые варианты вирусов семейства Zlob, такие как «DNSChanger[англ.]», добавляют мошеннические DNS-серверы в реестр Windows[7] и пытаются взломать любой обнаруженный маршрутизатор, потенциально перенаправляя трафик с легальных веб-сайтов на поддельные[8]. DNSChanger привлек значительное внимание, когда ФБР США объявило, что в конце ноября 2011 года оно обнаружило источник распространения вредоносного ПО и остановило его деятельность[9], однако, поскольку существовали миллионы зараженных компьютеров, которые потеряли бы доступ к Интернету, если бы серверы хакерской группы были отключены, ФБР решило переорганизовать их в законные DNS-серверы. Из-за стоимостных соображений эти серверы всё ещё должны были отключиться 9 июля 2012 г. что потенциально привело бы к потере доступа в Интернет тысяч все ещё зараженных компьютеров[10]. Это отключение серверов произошло штатно, ожидаемые проблемы с зараженными компьютерами не материализовались. Несмотря на все усилия, вредоносное ПО осталось в свободном распространении в интернете, и по состоянию на 2015 год его все ещё можно было найти на незащищенных компьютерах.