Показано с 1 по 3 из 3.

ZeuS научился заражать программы

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    ZeuS научился заражать программы

    Банковский троян ZeuS/Zbot с недавних пор прирос новой, довольно нетипичной для троянов функциональностью: теперь он умеет заражать исполняемые файлы.

    Специалисты компании Symantec, изучившие свойства новой разновидности "Зевса", сообщают, что, проникнув в систему типичным для троянской программы способом (обычно ZeuS распространяется через спам), этот вредонос пытается обнаружить в неком определённом месте исполняемые файлы. В каждый из этих файлов троян внедряет по 512 байт кода и переписывает точку входа так, чтобы при выполнении зараженного файла сперва отрабатывал внедрённый код.

    Отметим, что такие манеры присущи старым добрым классическим вирусам, что позволяло им бесконтрольно размножаться. Впрочем, код-паразит "Зевса" довольно-таки примитивен — очевидно, по той причине, что этот вредонос всецело полагается на Интернет, о чём классические вирусы могли только мечтать.

    При запуске зараженного трояном файла, сперва производится загрузка некого вредоносного файла из Сети (его адрес жёстко прописан в теле паразита), затем загруженный файл запускается и делает своё чёрное дело и только после этого выполняется "родной" код изначального файла. В Symantec не уточняют, какие именно файлы новый ZeuS пытается заразить; впрочем, граждане, способные читать машинные коды, могут при желании изучить этот скриншот. http://www.symantec.com/connect/site...ropped_400.png

    Очевидно, назначение новой функции состоит в том, чтобы троянца было труднее вычистить с зараженной машины. Всё-таки её нельзя назвать полноценной функцией размножения, свойственной вирусам — это, скорее, функция возрождения.

    "Даже если антивирусные продукты смогут удалить основной компонент трояна, код остаётся в зараженном файле, позволяя трояну загрузить свои обновления и заразить машину заново", — поясняет специалист компании Symantec Такаёши Накаяма.

    Отметим, что данная схема будет работать лишь в том случае, когда в сигнатурных базах антивируса имеются данные об основном компоненте трояна, но нет записей о коде-паразите. Кроме того, современные антивирусы обладают проактивной защитой, которая также может заподозрить внедрённый код в зловредных намерениях.

    Специалисты Symantec напоминают, что некоторые трояны уже наделялись ранее похожими свойствами, хотя это и редкость. Однако следует иметь в виду, что ZeuS постоянно совершенствуется, то и дело обретая новую функциональность. Вполне возможно, что этот рудимент когда-нибудь вырастет в нечто более серьёзное, превратив ZeuS из стерильного трояна в какого-нибудь плодовитого червя.

    "Можно сказать, что это "пробный шар". Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. — все это пока говорит о слабой квалификации разработчика данного вируса, — полагает старший вирусный аналитик "Лаборатории Касперского" Сергей Голованов. — Однако это не уменьшает его потенциальной опасности, и в случае дальнейшего развития данная вредоносная программа сможет еще не раз попасть в "хроники Интернета".

    Потенциальная опасность заключается в превращении ZeuS/Zbot в полноценный вирус.

    "Грозить это может тем, что одна из самых продвинутых и распространенных вредоносных программ для кражи персональных данных может обрести еще большее распространение и вызвать эпидемию, — говорит эксперт "Лаборатории Касперского". — Также не следует забывать о скорости реакции на подобные инциденты. Если детектирование троянской программы занимает всего несколько секунд, то детектирование вируса — до нескольких недель. За это время вирус может вызвать эпидемию и поставить под удар всю Сеть".

    И в Symantec, и в "Лаборатории Касперского" уже обновили антивирусные базы, добавив в них возможность обнаружения и лечения зараженных "Зевсом" файлов. Код-паразит детектируется продуктами этих компаний соответственно как Trojan.Zbot!inf и Trojan.Win32.ZbotPatched.a.

    http://www.webplanet.ru/news/securit...eus_virus.html
    http://club-symantec.ru/forum.php

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3709
    О, теперь это трояно-файловый вирь. Действительно интересная схема. Вычистив компоненты трояна, мы теперь не можем быть спокойными. Ибо один неверный клик и вся толпа опять к нам приходит в гости
    Left home for a few days and look what happens...

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    На скрине url допотопный и ничего не тянется.

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 16.02.2011, 21:19
  2. Ответов: 2
    Последнее сообщение: 19.01.2011, 21:23
  3. Троянские программы семейства ZBot (ZeuS) - угроза вашему счету
    От Vadim_SVN в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 13.04.2010, 13:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00425 seconds with 16 queries