Wiadomości
Zeus - obsługa peer to peer mocno utrudni zwalczanie tego botnetu
13 października 2011 13:12,
Antoni Steliński
Osławiony trojan bankowy Zeus został właśnie znacząco uaktualniony (m.in. o obsługę peer-to-peer) - z pierwszych analiz wynika, że nowa wersja jest znacznie bardziej odporna na próby zablokowania i ma więcej funkcji przydatnych cyberprzestępcom.
Polecamy:
Zobacz też:
Hüssy wykrył uaktualnionego Zeusa analizując złośliwy program o nazwie LICAT - to tzw. downloader, czyli aplikacja, która po zainfekowaniu komputera pobiera i instaluje w nim dodatkowe szkodliwe oprogramowanie. Zeus nie jest wyposażony w żaden mechanizm propagacyjny, dlatego też jego twórcy korzystają właśnie z LICAT. "Kilka dni temu zauważyłem, że LICAT został zmodyfikowany - w kodzie pojawiły się nowe adresy serwerów służących do zarządzania zainfekowanymi komputerami. Nieco mnie to zdziwiło, dlatego zdecydowałem się na przeanalizowanie "świeżej" kopii Zeusa - wykryłem tam nietypowy ruch UDP. Wydawało mi się nawet, że to nie może być Zeus, ale kilka dodatkowych testów wykazało, że to właśnie ten szkodnik, tyle, że mocno zmodyfikowany" - tłumaczy Hüssy.
Z analiz przeprowadzonych przez specjalistę wynika, że nowy Zeus po zainfekowaniu komputera zaczyna komunikować się z kilkoma predefiniowanymi adresami IP i za ich pośrednictwem pobiera zaktualizowaną listę adresów IP. Jeśli te komputery wyposażone są w nowszą wersję trojana, aktualizuje się.
Jego zdaniem mamy do czynienia z wyspecjalizowaną wersją trojana, przygotowaną przez jakąś grupę przestępczą pod kątem konkretnego ataku (np. na użytkowników określonego banku). W nowym Zeusie zastosowano kilka nietypowych rozwiązań, mających utrudnić jego wykrywanie i blokowanie - ale Hüssy podkreśla, że trojan zawiera też kilka błędów, które mogą ułatwić pracę specjalistów ds. bezpieczeństwa.
Wykorzystując jeden z tych błędów Hüssy zdołał na pewien czas przejąć kontrolę nad botnetem złożonym z komputerów zainfekowanych nowych Zeusem - dzięki temu dowiedział się, że składa się on co najmniej z 100 tys. komputerów (tyle adresów zgłosiło się w ciągu doby - ale liczba może być znacznie większe, bo pojedynczy IP może oznacząć zarówno jedną maszynę, jak i jedną sieć). Większość z nich znajduje się w Indiach, we Włoszech oraz w USA.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Microsoft Office 15 będzie obsługiwał standard ODF 1.2
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...