To własnie ten pan ukradł milion dolarów z brytyjskich kont bankowych

ZeuS żyje i się rozwija

Kaspersky Lab informuje o najnowszych odkryciach związanych z trojanem ZeuS, który ostatnio atakował, między innymi, klientów polskich banków.

Niedawno okazało się, że projekt ZeuSa został przekazany twórcy konkurencyjnego trojana o nazwie SpyEye. Ostatnio analitycy z Kaspersky Lab znaleźli w próbce SpyEye’a fragment ZeuSa, prawdopodobnie więc autor nowego szkodnika zaimplementuje wkrótce w swoim kodzie to, co najcenniejsze w ZeuSie, tworząc prawdziwe monstrum.

Eksperci ds. bezpieczeństwa obserwują stały strumień próbek ZeuSa i prawie wszystkie z nich to dobrze znane wersje tego szkodliwego programu. Jednak od czasu do czasu pojawiają się dość nietypowe modyfikacje i są powody by sądzić, że w pewnym zakresie ZeuS wciąż jest utrzymywany i rozwijany.

Dwa miesiące temu analitycy z Kaspersky Lab wykryli nową funkcję ZeuSa: trojan sprawdza, czy jest uruchamiany na platformie testowej, np. w specjalnym środowisku laboratorium antywirusowego. Uruchamianie trojana było wstrzymywane, jeżeli pojawiały się oznaki, że szkodnik działa w środowisku stworzonym do analizowania jego zachowania.

Z kolei kilka tygodni temu pojawił się inny wariant ZeuSa, który wykazywał nietypowe zachowanie jak na tę rodzinę. Wszystkie jego ostatnie odmiany miały ten sam algorytm dekodowania sekcji we własnym kodzie, która zawierała pierwotne ustawienia wewnętrzne trojana. Nowa, nietypowa próbka zawierała podwójne szyfrowanie.

Najpierw dane były szyfrowane przy użyciu standardowego algorytmu, jednak adres w odsyłaczu do pliku konfiguracyjnego był fałszywy. Prawdziwy odsyłacz do pliku konfiguracyjnego, który zawierał adres centrum kontroli botnetu, został ujawniony dopiero po drugim deszyfrowaniu.

Na początku marca analitycy z Kaspersky Lab trafili na próbkę ZeuSa, która również sprawdza, czy jest analizowana przez, na przykład, firmy antywirusowe. Jej funkcjonalność jest niemal taka sama, są jednak drobne modyfikacje – dodano kolejne kryterium wykrywania nowej platformy testowej.

W tym wariancie ZeuSa zmodyfikowana została również struktura fragmentów kodu, która przez ponad 6 miesięcy pozostawała niezmieniona i była wykorzystywana w tysiącach próbek trojanów.

Zmiany w kodzie pokazują, że próbka ta została stworzona przy użyciu nowej wersji pakietu do konstruowania ZeuSa. Funkcja umożliwiająca wykrywanie platformy testowej jest unikatowa i wygląda na to, że została dodana do standardowej funkcjonalności ZeuSa.

To sugeruje, że dla wąskiego grona ostatnich klientów korzystających z usług cyberprzestępców, którzy stworzyli ZeuSa, wciąż świadczona jest pomoc techniczna.

0
Źródło: Kaspersky Lab
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.