Zeus - obsługa peer to peer mocno utrudni zwalczanie tego botnetu
- Antoni Steliński,
- 13.10.2011, godz. 13:12
Osławiony trojan bankowy Zeus został właśnie znacząco uaktualniony (m.in. o obsługę peer-to-peer) - z pierwszych analiz wynika, że nowa wersja jest znacznie bardziej odporna na próby zablokowania i ma więcej funkcji przydatnych cyberprzestępcom.
Zobacz też:
Hüssy wykrył uaktualnionego Zeusa analizując złośliwy program o nazwie LICAT - to tzw. downloader, czyli aplikacja, która po zainfekowaniu komputera pobiera i instaluje w nim dodatkowe szkodliwe oprogramowanie. Zeus nie jest wyposażony w żaden mechanizm propagacyjny, dlatego też jego twórcy korzystają właśnie z LICAT. "Kilka dni temu zauważyłem, że LICAT został zmodyfikowany - w kodzie pojawiły się nowe adresy serwerów służących do zarządzania zainfekowanymi komputerami. Nieco mnie to zdziwiło, dlatego zdecydowałem się na przeanalizowanie "świeżej" kopii Zeusa - wykryłem tam nietypowy ruch UDP. Wydawało mi się nawet, że to nie może być Zeus, ale kilka dodatkowych testów wykazało, że to właśnie ten szkodnik, tyle, że mocno zmodyfikowany" - tłumaczy Hüssy.
Zobacz również:
Z analiz przeprowadzonych przez specjalistę wynika, że nowy Zeus po zainfekowaniu komputera zaczyna komunikować się z kilkoma predefiniowanymi adresami IP i za ich pośrednictwem pobiera zaktualizowaną listę adresów IP. Jeśli te komputery wyposażone są w nowszą wersję trojana, aktualizuje się.
Jego zdaniem mamy do czynienia z wyspecjalizowaną wersją trojana, przygotowaną przez jakąś grupę przestępczą pod kątem konkretnego ataku (np. na użytkowników określonego banku). W nowym Zeusie zastosowano kilka nietypowych rozwiązań, mających utrudnić jego wykrywanie i blokowanie - ale Hüssy podkreśla, że trojan zawiera też kilka błędów, które mogą ułatwić pracę specjalistów ds. bezpieczeństwa.
Wykorzystując jeden z tych błędów Hüssy zdołał na pewien czas przejąć kontrolę nad botnetem złożonym z komputerów zainfekowanych nowych Zeusem - dzięki temu dowiedział się, że składa się on co najmniej z 100 tys. komputerów (tyle adresów zgłosiło się w ciągu doby - ale liczba może być znacznie większe, bo pojedynczy IP może oznacząć zarówno jedną maszynę, jak i jedną sieć). Większość z nich znajduje się w Indiach, we Włoszech oraz w USA.