Новый вариант троянца Zeus стал пиринговым

Александр Панасенко 13 Октября 2011 - 10:44

...

Финансовое вредоносное программное обеспечение Zeus получило обновление, оснащающее его пиринговой функциональностью. С P2P-возможностями закрытие хакерских ресурсов становится куда более сложной задачей, а сам троянец получает дополнительную степень гибкости для проведения мошеннических операций.

Роман Хасси, создатель интернет-проектов Abuse.ch и SpyEye, говорит, что обнаруженная им новая версия троянца Zeus представляет собой значительный шаг вперед в сравнении с другими версиями данного вредоноса.

Около года назад авторы Zeus уже сделали попытку в сторону отхода от единого командного центра и перехода к более сложной многодоменной системе. Система Licat to Zeus, обнаруженная антивирусной компанией Trend Micro, использовала специальный алгоритм для генерации случайных доменов, работающий по аналогии с системой червя Conficker. Таким образом, распространение шло со случайных доменов, сообщает cybersecurity.

Хасси говорит, что несколько недель назад он заметил новый алгоритм работы командных центров Licat. Поместив последний полученный вариант червя Zeus в программную "песочницу", эксперт заметил наличие странного UDP-трафика. Дальнейший анализ показал, что новый вариант Zeus имел несколько заранее встроенных IP-адресов, отвечавших инфицированным системам. Данные системы по цепочке зараженных ПК рассылали обновленные копии Zeus ранее зараженным системам и таким же образом передавали данные.

Таким образом, отследить конечного получателя можно было лишь проследив всю цепочку коммуникаций, которая может насчитывать сотни тысяч компьютеров.

Хасси предполагает, что данный вариант Zeus мог быть создан обособленной группой мошенников, которая к разработчикам оригинального троянца не имеет отношения. Также эксперт отмечает, что пиринговая версия Zeus уже разошлась большими масштабами - за сутки он обнаружил более 100 000 IP-адресов, с которыми взаимодействовал троянец. Большая часть зараженных компьютеров расположена в США, Италии и Индии.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 18:59

Solar Dozor Корпорации Системы защиты от утечек конфиденциальной информации (DLP) ГК «Солар»

Solar Dozor 8.3 научили быстрее восстанавливать данные после шифровальщиков

ГК «Солар» выпустила новую версию Solar Dozor 8.3 — своей DLP-системы для крупных компаний, банков и госструктур. Главный акцент в обновлении сделали на устойчивости: если данные окажутся зашифрованы в результате атаки или сбоя, их можно будет восстановить за считаные минуты, без долгого подъёма архивов.

Ключевое изменение в релизе — репликация центрального файлового хранилища.

По сути, система теперь умеет создавать теневую копию логически связанных данных — например, сообщений, скриншотов и аудиозаписей — чтобы при проблемах быстрее вернуть их в работу. На фоне атак шифровальщиков это выглядит вполне понятным шагом: для крупных инфраструктур остановка защитной системы сама по себе уже становится серьёзной проблемой.

Обновление затронуло и архитектуру в целом. В версии 8.3 трафик между компонентами Solar Dozor теперь шифруется через mTLS на базе TLS 1.2/1.3, а для доступа к системе добавлена доменная аутентификация LDAP с поддержкой Kerberos и LDAP. Иначе говоря, интегрировать решение в корпоративную доменную среду стало проще, а управление доступом — более привычным для крупных ИТ-инфраструктур.

Кроме того, в системе появилась поддержка IPv6 и настройка по FQDN, что должно упростить её использование в динамических сетевых средах, где всё не завязано на статические IP-адреса.

Есть изменения и на уровне самого анализа данных. Solar Dozor теперь точнее распознаёт специальные символы, включая знак доллара, а также умеет разбирать файлы внутри архивов без ограничений по уровню вложенности. Это расширяет область контроля и затрудняет попытки спрятать чувствительные данные в глубоко вложенных архивах.

Для macOS добавили распознавание текста на изображениях, а для рабочих станций на Windows и Linux расширили механизмы контроля на уровне endpoint. Также в системе изменили логику анализа печати: теперь проверяются не целые документы, а только страницы, реально отправляемые на принтер. Это должно снизить нагрузку на ИБ-специалистов и сократить число лишних событий.

В «Соларе» также обновили интерфейс и упростили настройку политик. Плюс увеличили лимиты выгрузки отчётов: теперь система может отдавать до 50 тысяч событий, сообщений и файлов за раз, что должно быть удобнее для разбора инцидентов и анализа общей картины.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!