Groźny gromowładny

Jednym z najbardziej rozpowszechnionych narzędzi do kradzieży haseł dostępowych do kont bankowości elektronicznej jest trojan ZeuS, znany także jako Zbot i Wnspoem. Stanowi dość poważne zagrożenie dla użytkowników w wielu krajach.

ZeuS jest jednym z najstarszych trojanów zarażających Windows. Ciągła ewolucja kodu sprawia, że nadal jest dobrze dopracowanym narzędziem masowego pozyskiwania danych z zarażonych komputerów. Trojan ten nie ogranicza się tylko do przechwytywania haseł dostępu do systemów bankowości elektronicznej, chociaż do tego celu jest najczęściej używany.

Liczby

51,5% - średni współczynnik wykrywalności ZeuSa przez oprogramowanie antywirusowe

1249 - liczba wykrytych i śledzonych serwerów zarządzających botnetami z ZeuSem przez szwajcarski serwis ZeuS Tracker.

Pakiet oprogramowania kupowany za kilkaset do kilku tysięcy USD (zależnie od opcji) jest dostarczany z konsolą serwera napisaną w (interfejs w języku angielskim lub rosyjskim) oraz narzędziem do kompilacji gotowego pliku EXE. Przygotowanie tego pliku, który następnie będzie działał w zarażonych komputerach, odbywa się w kilku krokach. W pierwszej kolejności cyberprzestępcy przygotowują konfigurację, wybierają adresy IP, na które malware będzie reagować, budują dodatkowe opcje i tworzą plik konfiguracyjny. Plik ten następnie podlega przetworzeniu i zaszyfrowaniu. W wyniku pracy narzędzia, powstaje gotowy plik EXE oraz zaszyfrowana konfiguracja w binarnym pliku BIN.

Typowe opcje Zeusa

Kradzież haseł do usług FTP i POP3 na dowolnym porcie TCP

- przechwytywanie ruchu HTTP i HTTPS

- serwer proxy Socks, także wewnątrz NAT

- wykonanie zrzutów ekranu

- kradzież danych z zasobu "Protected Storage"

- modyfikacja strony WWW przedstawianej użytkownikowi w sesji HTTP i HTTPS

- wyświetlanie dodatkowych pytań i żądanie odpowiedzi od użytkownika

- pobranie i uruchomienie dowolnego kodu

- niszczenie systemu operacyjnego

Aby utrudnić analizę, plik konfiguracyjny jest szyfrowany kluczem zapisanym w binariach programu, zatem nie można rozpoznać konfiguracji bez posiadania kompletu plików. Jednym z najprostszych sposobów jest analiza zarażonego komputera za pomocą dołączenia debuggera, ale ZeuS posiada opcje w kodzie, które to utrudniają. O wiele prościej można odkryć wyrażenia regularne określające adresy URL, na które malware ma reagować.

Dwa najważniejsze skrypty kontroli umieszczane na serwerze to in.php (obsługuje logowanie do panelu administracyjnego zarządzającego botnetem, gdzie można wydawać komendy, pobierać statystyki, a nawet niszczyć zarażone systemy operacyjne) oraz s.php (jest to główny skrypt komunikacji z botnetem, przez niego przechodzi cała komunikacja z klientami wysyłana przez POST, wyniki są deszyfrowane i zapisywane do bazy MySQL lub składane w osobnym katalogu). Należy pamiętać, że domyślne nazwy skryptów kontrolujących botnet nie są nigdzie wpisane na stałe, są określone w konfiguracji, którą każdy z botów pobiera z serwera co pewien czas. Warto jednak monitorować odpytywane adresy URL pod kątem wyrażeń in.php i s.php, by zwiększyć prawdopodobieństwo wykrycia infekcji typową instalacją ZeuSa. Jak widać na stronach śledzących serwery ZeuSa, w Internecie pracuje wiele instalacji na domyślnych ustawieniach.


TOP 200