Перейти к содержанию
Black Angel

«Лаборатория Касперского» публикует аналитическую статью «За кем охотится ZeuS»

Recommended Posts

Black Angel

«Лаборатория Касперского» публикует аналитическую статью «За кем охотится ZeuS»

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о публикации аналитической статьи «За кем охотится ZeuS».

Автор статьи — Дмитрий Тараканов, вирусный аналитик российского исследовательского центра «Лаборатории Касперского». Материал посвящен исследованию троянской программы ZeuS и ботнетов, созданных с ее помощью.

Подхватить вредоносную программу на необъятных просторах интернета довольно просто. В программных продуктах и в самой операционной системе в силу их сложности часто встречаются недоработки, которые не проявляются при обычной, плановой работе программы, но приводят к критическим ошибкам в нештатных ситуациях, например, при работе с данными, которые не были учтены разработчиками. Такие ошибки можно использовать для того, чтобы запустить в системе пользователя вредоносную программу. Вредоносные программы могут быть разными, но троянцы являются самой распространенной их разновидностью.

Одним из самых опасных троянцев-шпионов, орудующих на компьютерах пользователей, является троянец ZeuS, который в Сети также известен под названием ZBot. Это название он получил от первой буквы авторского имени троянца «ZeuS» и слова «bot» (бот), что означает сетевого робота программу, автономно решающую поставленную задачу. В данном случае этой задачей является кража персональных данных пользователя. В основном, вредоносная программа пытается перехватить вводимые владельцем зараженного компьютера персональные данные на сайтах банков, а также компаний, оказывающих услуги коммерческой направленности.

Троянские программы семейства ZBot (ZeuS) появились в 2007 году. Все, что пользователь «запоминает» на компьютере (например, ставя галочку «Сохранить пароль»), становится доступным и для троянца, будь то логины, пароли или какие-то другие данные, например, для автозаполнения полей на веб-страничках. Даже если ничего не отмечать для запоминания, троянец следит за тем, какие клавиши были нажаты, и введенная последовательность символов, которая дает допуск к средствам пользователя, будет «подсмотрена» и отправлена злоумышленникам.

ZeuS — это очень эффективное средство как для сбора данных, так и для организации ботнета, который можно использовать в различных киберкриминальных целях, таких как рассылка спама, осуществление DDoS-атак, мошенничество и т.д.. Именно этим и обусловлена популярность этой вредоносной программы у киберпреступников. До осени 2007 года ZeuS распространял только его создатель. Затем, когда исходный код программы стал доступен другим, число модификаций зловреда начало расти. Максимальные показатели ZeuS продемонстрировал в мае 2009 года: тогда было зафиксировано 5079 модификаций. Кроме того, в начале 2009 года, видимо почувствовав повышенный спрос на ZeuS, вирусописатели подвергли первоначальную версию этого троянца качественному изменению. В частности, был усовершенствован алгоритм шифрования, как кода программы, так и файла конфигурации.

С момента появления первой версии ZeuS и по настоящее время зафиксировано более сорока тысяч разновидностей этой троянской программы. По количеству различных вариаций, по количеству адресов, куда стекаются данные для злоумышленника и откуда отправляются команды на зомби-компьютеры (такие адреса называются центрами управления), ZeuS занимает одну из лидирующих позиций среди незаконного ПО.

Самая последняя обнаруженная крупная сеть зомби-машин, зараженных ZeuS, — это так называемый Кнеберовский ботнет. В феврале 2010 года американская компания NetWitness, занимающаяся решениями в области корпоративной безопасности, сообщила о выявлении инфицированных ZeuS машин в 2500 организациях из 196 стран мира.

Защита от вирусов и троянских программ требует специальных мер. Для предотвращения заражения троянцем ZeuS не стоит проходить по незнакомым ссылкам, навязываемым неизвестными людьми. Как правило, ссылки на вредоносные программы приходят в сообщениях ICQ (или других клиентов) или в письмах электронной почты. Злоумышленники — неплохие психологи и пользуются слабостями и доверчивостью пользователей, чтобы заманивать их на свои вредоносные сайты. Нередко они маскируют адреса под название какого-нибудь известного легального портала. Кроме того, не рекомендуется доверять запоминание паролей программам. Автор статьи советует также отключить в интернет-браузере выполнение Javascript и запуск программ и файлов в окне iframe/frame.

С полной версией аналитической статьи «За кем охотится ZeuS» можно ознакомиться на сайте Securelist.com/ru.

«Лаборатория Касперского» не возражает против перепечатки материала с полным указанием авторства (автор, компания, первоисточник). Публикация переработанного текста требует дополнительного согласования с информационной службой компании.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      В каких случаях классический HIPS приносит реальную пользу ? Я не видел нигде в интернете внятного руководства по настройке классического HIPS в антивирусе, только в общих чертах рассказывают, как его настраивать. Такого руководства в принципе не может быть, то есть что и когда конкретно надо разрешать или запрещать ?
      Под классическим HIPS-ом я подразумеваю (на примере антивирусов) - компонент "Контроль Программ" в Kaspersky Internet Security, "Превентивная защита" в Dr Web, HIPS в Eset Nod, Comodo и в других антивирусах. Допустим, в HIPS запрещены потенциально опасные действия (которые могут влиять на безопасность всей операционной системы), такие как загрузка драйверов, низкоуровневый доступ к диску, низкоуровневый доступ к клавиатуре, внедрение кода в другие процессы, установка прав отладчика и т.п.
      Пользователь запускает программу, антивирусный комплекс угрозу не обнаруживает (файловый антивирус, поведенческий блокиратор, облако), HIPS в автоматическом режиме запрещает программе выполнять эти действия, и программа завершает свою работу, сообщая об ошибке, или ничего не сообщая, или работает некорректно (или пользователь сам запрещает эти действия, если включен интерактивный режим). Что делать пользователю ? Если он разрешит выполнять эти действия (или какое-то одно действие разрешит) при повторном запуске этой программы, и программы окажется вредоносной, то система будет заражена. Если пользователь запретит эти действия, то программа может завершить свою работу или работать с ошибками, хотя программа легитимная. То есть сообщение " Такая-то программа собирается загрузить такой-то драйвер" говорит только о том, что сейчас будет загружен драйвер. По этому сообщения нельзя вынести вердикт - вредоносная ли эта программа, или легитимная. В каких случаях это сообщение может принести реальную пользу ? То есть если программа (запущенная пользователем, или уже работающая) окажется вредоносной, пользователь понял бы это и вовремя нажал бы "запретить это действие". Или любое другое сообщение - "программа пытается получить низкоуровневый доступ к диску " и т.д.
    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
×