O pojawieniu się nowego wariantu Zeusa poinformował szwajcarski specjalista ds. bezpieczeństwa Roman Hüssy, który od kilkunastu miesięcy stale monitoruje rozwój tego złośliwego programu atakującego użytkowników Windows.

Hüssy wykrył uaktualnionego Zeusa analizując złośliwy program o nazwie LICAT - to tzw. downloader, czyli aplikacja, która po zainfekowaniu komputera pobiera i instaluje w nim dodatkowe szkodliwe oprogramowanie. Zeus nie jest wyposażony w żaden mechanizm propagacyjny, dlatego też jego twórcy korzystają właśnie z LICAT. "Kilka dni temu zauważyłem, że LICAT został zmodyfikowany - w kodzie pojawiły się nowe adresy serwerów służących do zarządzania zainfekowanymi komputerami. Nieco mnie to zdziwiło, dlatego zdecydowałem się na przeanalizowanie "świeżej" kopii Zeusa - wykryłem tam nietypowy ruch UDP. Wydawało mi się nawet, że to nie może być Zeus, ale kilka dodatkowych testów wykazało, że to właśnie ten szkodnik, tyle, że mocno zmodyfikowany" - tłumaczy Hüssy.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Z analiz przeprowadzonych przez specjalistę wynika, że nowy Zeus po zainfekowaniu komputera zaczyna komunikować się z kilkoma predefiniowanymi adresami IP i za ich pośrednictwem pobiera zaktualizowaną listę adresów IP. Jeśli te komputery wyposażone są w nowszą wersję trojana, aktualizuje się.

Jego zdaniem mamy do czynienia z wyspecjalizowaną wersją trojana, przygotowaną przez jakąś grupę przestępczą pod kątem konkretnego ataku (np. na użytkowników określonego banku). W nowym Zeusie zastosowano kilka nietypowych rozwiązań, mających utrudnić jego wykrywanie i blokowanie - ale Hüssy podkreśla, że trojan zawiera też kilka błędów, które mogą ułatwić pracę specjalistów ds. bezpieczeństwa.

Wykorzystując jeden z tych błędów Hüssy zdołał na pewien czas przejąć kontrolę nad botnetem złożonym z komputerów zainfekowanych nowych Zeusem - dzięki temu dowiedział się, że składa się on co najmniej z 100 tys. komputerów (tyle adresów zgłosiło się w ciągu doby - ale liczba może być znacznie większe, bo pojedynczy IP może oznacząć zarówno jedną maszynę, jak i jedną sieć). Większość z nich znajduje się w Indiach, we Włoszech oraz w USA.