Groźny gromowładny
- 09.02.2010
Jednym z najbardziej rozpowszechnionych narzędzi do kradzieży haseł dostępowych do kont bankowości elektronicznej jest trojan ZeuS, znany także jako Zbot i Wnspoem. Stanowi dość poważne zagrożenie dla użytkowników w wielu krajach.
ZeuS jest jednym z najstarszych trojanów zarażających Windows. Ciągła ewolucja kodu sprawia, że nadal jest dobrze dopracowanym narzędziem masowego pozyskiwania danych z zarażonych komputerów. Trojan ten nie ogranicza się tylko do przechwytywania haseł dostępu do systemów bankowości elektronicznej, chociaż do tego celu jest najczęściej używany.
51,5% - średni współczynnik wykrywalności ZeuSa przez oprogramowanie antywirusowe
1249 - liczba wykrytych i śledzonych serwerów zarządzających botnetami z ZeuSem przez szwajcarski serwis ZeuS Tracker.
Kradzież haseł do usług FTP i POP3 na dowolnym porcie TCP
- przechwytywanie ruchu HTTP i HTTPS
- serwer proxy Socks, także wewnątrz NAT
- wykonanie zrzutów ekranu
- kradzież danych z zasobu "Protected Storage"
- modyfikacja strony WWW przedstawianej użytkownikowi w sesji HTTP i HTTPS
- wyświetlanie dodatkowych pytań i żądanie odpowiedzi od użytkownika
- pobranie i uruchomienie dowolnego kodu
- niszczenie systemu operacyjnego
Dwa najważniejsze skrypty kontroli umieszczane na serwerze to in.php (obsługuje logowanie do panelu administracyjnego zarządzającego botnetem, gdzie można wydawać komendy, pobierać statystyki, a nawet niszczyć zarażone systemy operacyjne) oraz s.php (jest to główny skrypt komunikacji z botnetem, przez niego przechodzi cała komunikacja z klientami wysyłana przez POST, wyniki są deszyfrowane i zapisywane do bazy MySQL lub składane w osobnym katalogu). Należy pamiętać, że domyślne nazwy skryptów kontrolujących botnet nie są nigdzie wpisane na stałe, są określone w konfiguracji, którą każdy z botów pobiera z serwera co pewien czas. Warto jednak monitorować odpytywane adresy URL pod kątem wyrażeń in.php i s.php, by zwiększyć prawdopodobieństwo wykrycia infekcji typową instalacją ZeuSa. Jak widać na stronach śledzących serwery ZeuSa, w Internecie pracuje wiele instalacji na domyślnych ustawieniach.