Троян Zeus вновь в центре внимания

Тёмные личности, промышляющие сколачиванием Zeus-ботнетов, в очередной раз проявили фантазию в деле внедрения троянов на компьютеры наивных пользователей. Теперь Zeus в качестве приманки использует страшилку про самого себя, сообщает SophosLabs.

Напомним, что в начале месяца известный обозреватель киберугроз Брайан Кребс (Brian Krebs) сообщил о фишинговой атаке на служащих госструктур США. Многие владельцы почтовых ящиков в доменах .gov и .mil получили поддельные письма, якобы отправленные Агентством национальной безопасности. По указанной в письмах ссылке раздавалась одна из разновидностей банковского трояна Zeus.

Уже через несколько дней после означенной публикации многие пользователи стали получать письма с предупреждением об этой атаке. Первые несколько абзацев текста этих писем были тщательно скопипастены у Кребса, а за ними было размещено предложение скачать обновление безопасности для Windows 2000/XP/Vista/7.

Очевидно, целью злоумышленников было создать впечатление, что данное обновление обезопасит их от трояна. Что, конечно же, не так, поскольку трояны в принципе проникают в систему не через "дыры" в системе, а через дыры в голове пользователей. Вот и на этот раз по прилагаемой ссылке раздавалась очередная модификация пресловутого Zeus.

Судя по разнообразию источников, приславших в компанию Sophos образцы данного фишингового письма, на этот раз атакующие не ограничивались государственными доменами США. Можно предположить, что за новой атакой стоит другой злоумышленник (или группа злоумышленников), попытавшийся воспользоваться успехом конкурента. Такое вполне вероятно, поскольку Zeus-троянов может создавать любой, не пожалевший денег на соответствующий хакерский инструментарий.

Недавно, произошло еще одно интересное событие: одна из последних модификаций банковского трояна Zeus содержит скрытое сообщение, в котором создатель этого вредоноса выражает благодарность разработчикам антивирусов. Текст сообщения можно увидеть в бинарном файле трояна, после того как тот успешно внедрится на целевой компьютер, сообщается в блоге компании Trend Micro.

Сообщение составлено на простом и почти правильном английском и выглядит буквально так:
"Thanks to KAV and to Avira for new quests, i like it! NOD32 and SAV is stupid!"

Смысл его, очевидно, состоит в том, что некоторые борцы с вирусами постоянно вносят изменения в свои продукты, реагируя на ухищрения вирусописателей, нацеленные на то, чтобы скрыть присутствие троянов в системе. Это вынуждает автора Zeus то и дело выдумывать что-нибудь новенькое, что доставляет ему особое удовольствие.

Как видим, "отец" "Зевса" благодарит создателей "Антивируса Касперского", а также компанию Avira. В то же время он считает продукты NOD32 (компания ESET) и Symantec Antivirus "глупыми".

Сотрудники Trend Micro никак не комментируют отношения между Zeus и конкретными антивирусными программами, в том числе и своей, хотя и заверяют, что участники их защитной сети Trend Micro Smart Protection Network могут не опасаться за свои банковские счета.

Напомним, что Zeus, он же троян Zbot — это популярное семейство троянов, предназначенных для воровства паролей к системам онлайн-банкинга. Данное семейство плодится благодаря усилиям "кулхацкеров", не пожалевших денег на одноимённый хакерский инструментарий. Очевидно, скрытое сообщение составлено автором этого тулкита, поскольку означенные "кулхацкеры" обычно мало что понимают в создании вирусов.

Осталось лишь добавить, что у Zeus'а имеется и амбициозный конкурент Spy Eye, который умеет вычищать захваченный компьютер от присутствия Zeus, редварительно похищая его базы данных...