-
ZeuS научился заражать программы
Банковский троян ZeuS/Zbot с недавних пор прирос новой, довольно нетипичной для троянов функциональностью: теперь он умеет заражать исполняемые файлы.
Специалисты компании Symantec, изучившие свойства новой разновидности "Зевса", сообщают, что, проникнув в систему типичным для троянской программы способом (обычно ZeuS распространяется через спам), этот вредонос пытается обнаружить в неком определённом месте исполняемые файлы. В каждый из этих файлов троян внедряет по 512 байт кода и переписывает точку входа так, чтобы при выполнении зараженного файла сперва отрабатывал внедрённый код.
Отметим, что такие манеры присущи старым добрым классическим вирусам, что позволяло им бесконтрольно размножаться. Впрочем, код-паразит "Зевса" довольно-таки примитивен — очевидно, по той причине, что этот вредонос всецело полагается на Интернет, о чём классические вирусы могли только мечтать.
При запуске зараженного трояном файла, сперва производится загрузка некого вредоносного файла из Сети (его адрес жёстко прописан в теле паразита), затем загруженный файл запускается и делает своё чёрное дело и только после этого выполняется "родной" код изначального файла. В Symantec не уточняют, какие именно файлы новый ZeuS пытается заразить; впрочем, граждане, способные читать машинные коды, могут при желании изучить этот скриншот. http://www.symantec.com/connect/site...ropped_400.png
Очевидно, назначение новой функции состоит в том, чтобы троянца было труднее вычистить с зараженной машины. Всё-таки её нельзя назвать полноценной функцией размножения, свойственной вирусам — это, скорее, функция возрождения.
"Даже если антивирусные продукты смогут удалить основной компонент трояна, код остаётся в зараженном файле, позволяя трояну загрузить свои обновления и заразить машину заново", — поясняет специалист компании Symantec Такаёши Накаяма.
Отметим, что данная схема будет работать лишь в том случае, когда в сигнатурных базах антивируса имеются данные об основном компоненте трояна, но нет записей о коде-паразите. Кроме того, современные антивирусы обладают проактивной защитой, которая также может заподозрить внедрённый код в зловредных намерениях.
Специалисты Symantec напоминают, что некоторые трояны уже наделялись ранее похожими свойствами, хотя это и редкость. Однако следует иметь в виду, что ZeuS постоянно совершенствуется, то и дело обретая новую функциональность. Вполне возможно, что этот рудимент когда-нибудь вырастет в нечто более серьёзное, превратив ZeuS из стерильного трояна в какого-нибудь плодовитого червя.
"Можно сказать, что это "пробный шар". Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. — все это пока говорит о слабой квалификации разработчика данного вируса, — полагает старший вирусный аналитик "Лаборатории Касперского" Сергей Голованов. — Однако это не уменьшает его потенциальной опасности, и в случае дальнейшего развития данная вредоносная программа сможет еще не раз попасть в "хроники Интернета".
Потенциальная опасность заключается в превращении ZeuS/Zbot в полноценный вирус.
"Грозить это может тем, что одна из самых продвинутых и распространенных вредоносных программ для кражи персональных данных может обрести еще большее распространение и вызвать эпидемию, — говорит эксперт "Лаборатории Касперского". — Также не следует забывать о скорости реакции на подобные инциденты. Если детектирование троянской программы занимает всего несколько секунд, то детектирование вируса — до нескольких недель. За это время вирус может вызвать эпидемию и поставить под удар всю Сеть".
И в Symantec, и в "Лаборатории Касперского" уже обновили антивирусные базы, добавив в них возможность обнаружения и лечения зараженных "Зевсом" файлов. Код-паразит детектируется продуктами этих компаний соответственно как Trojan.Zbot!inf и Trojan.Win32.ZbotPatched.a.
http://www.webplanet.ru/news/securit...eus_virus.html
http://club-symantec.ru/forum.php
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
О, теперь это трояно-файловый вирь. Действительно интересная схема. Вычистив компоненты трояна, мы теперь не можем быть спокойными. Ибо один неверный клик и вся толпа опять к нам приходит в гости 
Left home for a few days and look what happens...
-
-
На скрине url допотопный и ничего не тянется.
-
Ответить с цитированием
