Groźny gromowładny
-
- 09.02.2010
Antywirus na straży licencji
ZeuS jest produktem komercyjnym i jest udostępniany na mocy własnościowej licencji. Podobnie jak najpopularniejsza licencja własnościowa na świecie (EULA Microsoftu), zabrania ona dekompilacji produktów. Zawiera też jeszcze inne obostrzenia - nie wolno ujawniać tego oprogramowania, w szczególności dostawcom narzędzi antywirusowych. Niedotrzymanie postanowień tej licencji skutkuje zgłoszeniem całego botnetu do dostawców antywirusów przez licencjodawcę ZeuSa. Postawienie twórców oprogramowania antywirusowego w roli egzekutorów postanowień licencji jest swoistym ewenementem.
Podziemne SaaS
Ciekawym aspektem jest sprzedaż tego oprogramowania w formie usługi - ci cyberprzestępcy, którzy nie dysponują wystarczającą wiedzą do napisania własnych trojanów, mogą kupić hostowany serwer ZeuSa, wyposażony w łatwy do użycia panel administracyjny oraz narzędzia do automatycznego infekowania komputerów. W ten sposób można dość szybko wykreować własną sieć przejętych komputerów. Oferowane są także komercyjne usługi, polegające na utrzymywaniu sieci botów.
Wyczyścić po sobie
ZeuS posiada wbudowaną opcję niszczenia systemu operacyjnego zarażonego komputera (komenda kos). Po wydaniu tej komendy, oprogramowanie niszczy rejestr oraz nadpisuje pamięć wirtualną zerami, unieruchamiając w ten sposób Windows. Cyberprzestępcy niszczą systemy podczas likwidacji botnetu albo wtedy, gdy chcą zyskać na czasie i opóźnić ofiarom dostęp do rachunków bankowości elektronicznej. Chociaż ZeuS pozostawia binaria na dysku, użytkownicy domowi zazwyczaj reinstalują system, zacierając w ten sposób ślady. W kwietniu ub.r. w ten sposób zablokowano 10 tysięcy komputerów z Windows, stanowiących ogniwa jednego botnetu. Aby odzyskać sprawność systemu po zniszczeniu przez ZeuSa, należy odtworzyć rejestr z kopii bezpieczeństwa, a następnie wyczyścić komputer ze złośliwego oprogramowania.
W badanych przez ekspertów sieciach, najwięcej ataków zaplanowano na instytucje finansowe w Hiszpanii (aż 24 banki, od niewielkich regionalnych, po duże sieci), na drugim miejscu znajduje się USA (15 instytucji, w tym Citibank, U.S. Bank, Bank of America oraz PayPal), na trzecim Wielka Brytania i Niemcy (po 7 instytucji, wliczając HSBC, Dresdner Bank czy Norisbank). Mimo że trojan ten jest popularny w Rosji (ma nawet rosyjskojęzyczny interfejs administracyjny), zanotowano zaledwie 5 rosyjskich instytucji, które atakuje. W niektórych podsieciach odsetek ten wygląda inaczej, ponadto na liście coraz częściej pojawiają się adresy usług Google.
Specjaliści do spraw bezpieczeństwa teleinformatycznego niektórych polskich banków dokładnie śledzą konfigurację znanych botnetów działających z użyciem ZeuSa. W ubiegłym roku w ten sposób atakowano klientów między innymi polskiego Citi, Pekao SA, PKO BP oraz mBanku. To, że polskie banki stosunkowo rzadko są celem ataku, wynika stąd, że u nas odnotowuje się dobry poziom zabezpieczeń (standardem jest dwuskładnikowe uwierzytelnienie, które wymaga więcej pracy cyberprzestępców) oraz względnie niewielki potencjał rynku kradzieży pieniędzy.
