Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Новости » Банковский троян ZeuS умеет заражать исполняемые файлы
Новости

Банковский троян ZeuS умеет заражать исполняемые файлы

автор: Administrator | 23 апреля 2010, 19:19 | Просмотров: 8331
теги: НОВОСТИ, ZeuS, заражает, троян, вирус, проактивная защита



Банковский троян ZeuS/Zbot с недавних пор прирос новой, довольно нетипичной для троянов функциональностью: теперь он умеет заражать исполняемые файлы.

Специалисты компании Symantec, изучившие свойства новой разновидности "Зевса", сообщают, что, проникнув в систему типичным для троянской программы способом (обычно ZeuS распространяется через спам), этот вредонос пытается обнаружить в неком определённом месте исполняемые файлы. В каждый из этих файлов троян внедряет по 512 байт кода и переписывает точку входа так, чтобы при выполнении зараженного файла сперва отрабатывал внедрённый код.

Отметим, что такие манеры присущи старым добрым классическим вирусам, что позволяло им бесконтрольно размножаться. Впрочем, код-паразит "Зевса" довольно-таки примитивен — очевидно, по той причине, что этот вредонос всецело полагается на Интернет, о чём классические вирусы могли только мечтать.

При запуске зараженного трояном файла, сперва производится загрузка некого вредоносного файла из Сети (его адрес жёстко прописан в теле паразита), затем загруженный файл запускается и делает своё чёрное дело и только после этого выполняется "родной" код изначального файла. В Symantec не уточняют, какие именно файлы новый ZeuS пытается заразить; впрочем, граждане, способные читать машинные коды, могут при желании изучить этот скриншот:
Банковский троян ZeuS умеет заражать исполняемые файлы


Очевидно, назначение новой функции состоит в том, чтобы троянца было труднее вычистить с зараженной машины. Всё-таки её нельзя назвать полноценной функцией размножения, свойственной вирусам — это, скорее, функция возрождения.

"Даже если антивирусные продукты смогут удалить основной компонент трояна, код остаётся в зараженном файле, позволяя трояну загрузить свои обновления и заразить машину заново", — поясняет специалист компании Symantec Такаёши Накаяма.

Отметим, что данная схема будет работать лишь в том случае, когда в сигнатурных базах антивируса имеются данные об основном компоненте трояна, но нет записей о коде-паразите. Кроме того, современные антивирусы обладают проактивной защитой, которая также может заподозрить внедрённый код в зловредных намерениях.

Специалисты Symantec напоминают, что некоторые трояны уже наделялись ранее похожими свойствами, хотя это и редкость. Однако следует иметь в виду, что ZeuS постоянно совершенствуется, то и дело обретая новую функциональность. Вполне возможно, что этот рудимент когда-нибудь вырастет в нечто более серьёзное, превратив ZeuS из стерильного трояна в какого-нибудь плодовитого червя.

"Можно сказать, что это "пробный шар". Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. — все это пока говорит о слабой квалификации разработчика данного вируса, — полагает старший вирусный аналитик "Лаборатории Касперского" Сергей Голованов. — Однако это не уменьшает его потенциальной опасности, и в случае дальнейшего развития данная вредоносная программа сможет еще не раз попасть в "хроники Интернета".

Потенциальная опасность заключается в превращении ZeuS/Zbot в полноценный вирус.

"Грозить это может тем, что одна из самых продвинутых и распространенных вредоносных программ для кражи персональных данных может обрести еще большее распространение и вызвать эпидемию, — говорит эксперт "Лаборатории Касперского". — Также не следует забывать о скорости реакции на подобные инциденты. Если детектирование троянской программы занимает всего несколько секунд, то детектирование вируса — до нескольких недель. За это время вирус может вызвать эпидемию и поставить под удар всю Сеть".

И в Symantec, и в "Лаборатории Касперского" уже обновили антивирусные базы, добавив в них возможность обнаружения и лечения зараженных "Зевсом" файлов. Код-паразит детектируется продуктами этих компаний соответственно как Trojan.Zbot!inf и Trojan.Win32.ZbotPatched.a.




источник:
webplanet.ru
@ Ua-life
23 апреля 2010, 19:35 | |  
Аватар пользователя Ua-life
карма: +66.738
комментариев: 67
новостей: 0
группа: Посетители
Хм
@ sgk80
28 апреля 2010, 20:33 | |  
Аватар пользователя sgk80
карма: +0.03
комментариев: 5
новостей: 0
группа: Посетители
Ага, если бы ещё все банковские клерки не использовали Internet explorer (дабы только через этот браузер происходит взлом) было бы ещё лучше... Мне нравиться наш народ - он любит всё использовать по-умолчанию и даже не подозревая, что именно этим и пользуются мошенники... Респект им...
@ Хak
12 ноября 2011, 20:45 | |  
Аватар пользователя Хak
карма:
комментариев: 0
новостей: 0
группа: Гости
ПОДСКАЖИТЕ ГДЕ СКАЧАТЬ ЭТУ ПРОГРАММУ ДЛЯ СОЗДАНИЯ ВИРУСА ЗЕВС?
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.