Botnet w Polsce
-
- 21.09.2010
Eyebot kontra ZeuS
EyeBot jest stosunkowo nowym botnetem, który zdobywa coraz więcej maszyn, rywalizując z najpopularniejszymi obecnie sieciami ZeuSa. Oba programy kradną informacje związane z uwierzytelnieniem do witryn bankowości elektronicznej, niektórych sieci społecznościowych itp., oba stosują techniki typowe dla rootkitów, ale EyeBot jest także kompletnym backdoorem (ZeuS wymaga do tego celu modułów, osobno płatnych i zazwyczaj dość kosztownych).
Nowy konkurent ZeuSa pochodzi z Rosji i jako jeden z niewielu może służyć jako serwer dla klienta działającego w trybie graficznym. Klient jest aplikacją, która daje włamywaczowi bezpośredni dostęp do systemu operacyjnego przejętego komputera. Zatem jest to backdoor, który umożliwia sprawne maskowanie własnych działań, korzystając z przejętego komputera (jest to standardowe proxy SOCKS).
Eyebot jest ciekawym programem, ponieważ potrafi unieruchomić oprogramowanie odpowiedzialne za pracę komputera w botnecie ZeuS/ZBOT, gdyż monitoruje znane obiekty mutex, właściwe dla ZBOTa: _AVIRA_ i __SYSTEM__.
Obserwowany od jakiegoś czasu botnet SpyEye może być bezpośrednią konkurencją dla popularnego ZeuSa. Złośliwe oprogramowanie SpyEye infekujące przejęte komputery posiada opcję wyłączania pracy modułów ZeuSa, oba programy zajmują podobną niszę rynkową. Wynika stąd silna konkurencja między sieciami C&C, która może prowadzić do znaczącej poprawy skuteczności ich działań. Nie wróży to niczego dobrego małym firmom, które są najbardziej narażone na ataki ze względu na ograniczony budżet na rozwiązania ochrony sieci.
Nie jest to jednak pierwszy przypadek swoistego pojedynku między twórcami złośliwego oprogramowania, kilka lat temu można było zaobserwować podobną rywalizację między robakami NETSKY i MYDOOM.
