Меню сайта |
|
|
Наш опрос |
Оцените мой сайт
Всего ответов: 38
|
|
Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
|
Главная » 2011 » Март » 3 » ZeuS !!!
|
ZeuS научился отличать виртуальное окружение от реальной системыЭксперты "Лаборатории Касперского" более детально изучили новые образцы вредоносного кода трояна, ставшего результатом объединения
двух проектов ZeuS и SpyEye. Эксперты полагают, что разработчик SpyEye
выжмет из ZeuS самое ценное и реализует в SpyEye. Но, на удивление
специалистов, новый образец ZeuS пополнился новыми функциями, которые
существенно отличаются от модификаций, создаваемых с помощью
конструкторов ZeuS (ZeuS-builder-ов), что позволяет предположить
существование поддержки и развития ZeuS. Несколько месяцев назад был
обнаружен ZeuS, который имел новый функционал: он проверял, не выполняют
ли его на тестовой платформе, например, внутри "песочницы"
исследовательской компании. Троянец прекращал свое выполнение, если по
некоторым признакам определял, что запущен в определенном окружении для
анализа. Несколько недель назад появился другой ZeuS со странной для
этого семейства активностью. Все последние варианты ZeuS имели один и
тот же алгоритм расшифровки секции внутри своего кода, которая содержала
начальные внутренние настройки троянца (ссылка, по которой должен
загружаться файл конфигурации, ключ шифрования трафика и т.п.). Так вот,
в новом необычном образце обнаружилось двойное шифрование. Сначала
данные расшифровываются по стандартному алгоритму, но адрес к файлу
конфигурации при этом получается фальшивый. И только вторая расшифровка
дает реальную ссылку на файл конфигурации, в котором, собственно,
указывается адрес центра управления ботнетом. Несколько дней назад был
зафиксирован ZeuS, который также проверяет, не запущен ли он для
анализа, например, в антивирусной компании. Функционал тот же, но уже с
небольшими изменениями: добавился еще один критерий для обнаружения
новой тестовой площадки. Этот вариант ZeuS к тому же имеет измененные по
структуре части кода, которые оставались неизменными более полугода, а
это тысячи и тысячи модификаций троянца. Изменение части кода указывает
на то, что образец был создан с помощью новой перекомпилированной версии
конструктора ZeuS. Специалисты "Лаборатории Касперского" отмечают, что
обнаруженный функционал определения тестовых платформ уникален. Скорее
всего, он был добавлен к основному функционалу ZeuS по заказу как
специальная функция. Таким образом, очень похоже на то, что эта
модификация ZeuS является свидетельством продолжения технической
поддержки "важных" клиентов, использующих трояна в своей деятельности. Подробнее
|
Просмотров: 2546 |
Добавил: Deliverance
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
|
|
Поиск |
|
|
Календарь |
« Март 2011 » | Пн | Вт | Ср | Чт | Пт | Сб | Вс | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
|
Архив записей |
|
|
|