Перейти к содержанию

«Лаборатория Касперского» публикует аналитическую статью «За кем охотится ZeuS»


Рекомендуемые сообщения

«Лаборатория Касперского» публикует аналитическую статью «За кем охотится ZeuS»

 

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о публикации аналитической статьи «За кем охотится ZeuS».

 

Автор статьи — Дмитрий Тараканов, вирусный аналитик российского исследовательского центра «Лаборатории Касперского». Материал посвящен исследованию троянской программы ZeuS и ботнетов, созданных с ее помощью.

 

Подхватить вредоносную программу на необъятных просторах интернета довольно просто. В программных продуктах и в самой операционной системе в силу их сложности часто встречаются недоработки, которые не проявляются при обычной, плановой работе программы, но приводят к критическим ошибкам в нештатных ситуациях, например, при работе с данными, которые не были учтены разработчиками. Такие ошибки можно использовать для того, чтобы запустить в системе пользователя вредоносную программу. Вредоносные программы могут быть разными, но троянцы являются самой распространенной их разновидностью.

 

Одним из самых опасных троянцев-шпионов, орудующих на компьютерах пользователей, является троянец ZeuS, который в Сети также известен под названием ZBot. Это название он получил от первой буквы авторского имени троянца «ZeuS» и слова «bot» (бот), что означает сетевого робота программу, автономно решающую поставленную задачу. В данном случае этой задачей является кража персональных данных пользователя. В основном, вредоносная программа пытается перехватить вводимые владельцем зараженного компьютера персональные данные на сайтах банков, а также компаний, оказывающих услуги коммерческой направленности.

 

Троянские программы семейства ZBot (ZeuS) появились в 2007 году. Все, что пользователь «запоминает» на компьютере (например, ставя галочку «Сохранить пароль»), становится доступным и для троянца, будь то логины, пароли или какие-то другие данные, например, для автозаполнения полей на веб-страничках. Даже если ничего не отмечать для запоминания, троянец следит за тем, какие клавиши были нажаты, и введенная последовательность символов, которая дает допуск к средствам пользователя, будет «подсмотрена» и отправлена злоумышленникам.

 

ZeuS — это очень эффективное средство как для сбора данных, так и для организации ботнета, который можно использовать в различных киберкриминальных целях, таких как рассылка спама, осуществление DDoS-атак, мошенничество и т.д.. Именно этим и обусловлена популярность этой вредоносной программы у киберпреступников. До осени 2007 года ZeuS распространял только его создатель. Затем, когда исходный код программы стал доступен другим, число модификаций зловреда начало расти. Максимальные показатели ZeuS продемонстрировал в мае 2009 года: тогда было зафиксировано 5079 модификаций. Кроме того, в начале 2009 года, видимо почувствовав повышенный спрос на ZeuS, вирусописатели подвергли первоначальную версию этого троянца качественному изменению. В частности, был усовершенствован алгоритм шифрования, как кода программы, так и файла конфигурации.

 

С момента появления первой версии ZeuS и по настоящее время зафиксировано более сорока тысяч разновидностей этой троянской программы. По количеству различных вариаций, по количеству адресов, куда стекаются данные для злоумышленника и откуда отправляются команды на зомби-компьютеры (такие адреса называются центрами управления), ZeuS занимает одну из лидирующих позиций среди незаконного ПО.

 

Самая последняя обнаруженная крупная сеть зомби-машин, зараженных ZeuS, — это так называемый Кнеберовский ботнет. В феврале 2010 года американская компания NetWitness, занимающаяся решениями в области корпоративной безопасности, сообщила о выявлении инфицированных ZeuS машин в 2500 организациях из 196 стран мира.

 

Защита от вирусов и троянских программ требует специальных мер. Для предотвращения заражения троянцем ZeuS не стоит проходить по незнакомым ссылкам, навязываемым неизвестными людьми. Как правило, ссылки на вредоносные программы приходят в сообщениях ICQ (или других клиентов) или в письмах электронной почты. Злоумышленники — неплохие психологи и пользуются слабостями и доверчивостью пользователей, чтобы заманивать их на свои вредоносные сайты. Нередко они маскируют адреса под название какого-нибудь известного легального портала. Кроме того, не рекомендуется доверять запоминание паролей программам. Автор статьи советует также отключить в интернет-браузере выполнение Javascript и запуск программ и файлов в окне iframe/frame.

 

С полной версией аналитической статьи «За кем охотится ZeuS» можно ознакомиться на сайте Securelist.com/ru.

 

«Лаборатория Касперского» не возражает против перепечатки материала с полным указанием авторства (автор, компания, первоисточник). Публикация переработанного текста требует дополнительного согласования с информационной службой компании.

 

Источник

Ссылка на комментарий
Поделиться на другие сайты

Не слышал о таком троянце.

Самая последняя обнаруженная крупная сеть зомби-машин, зараженных ZeuS, — это так называемый Кнеберовский ботнет. В феврале 2010 года американская компания NetWitness, занимающаяся решениями в области корпоративной безопасности, сообщила о выявлении инфицированных ZeuS машин в 2500 организациях из 196 стран мира.

Не маленькое число. Сколько ж эта сеть работала до обнаружения?!

Ссылка на комментарий
Поделиться на другие сайты

является троянец ZeuS, который в Сети также известен под названием ZBot.

слыхали про такого, он вроде создает свои трояны с учетом защит и технологий KIS/KAV

Ссылка на комментарий
Поделиться на другие сайты

Максимальные показатели ZeuS продемонстрировал в мае 2009 года: тогда было зафиксировано 5079 модификаций.

Крутая штука. Даже немножко не по себе. Ещё один плюс в пользу Linux, под ним, как я понял, этого зловреда нет. ^_^

Ссылка на комментарий
Поделиться на другие сайты

Крутая штука. Даже немножко не по себе. Ещё один плюс в пользу Linux, под ним, как я понял, этого зловреда нет. ^_^

Скоро и под Linux разработают, вирусы развиваются очень быстро.(раньше под Linux работать можно было спокойно, а сейчас нет).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Elly
      От Elly
      Друзья!
       
      «Лабораторией Касперского» разработано множество защитных решений для домашних пользователей. Предлагаем вам поучаствовать в викторине, ответить на двадцать сложных вопросов о защитных решениях «Лаборатории Касперского», особенностях их функционирования, свойствах и узнать для себя что-то новенькое. При поиске ответов рекомендуется использовать в качестве достоверных источников информации только официальные сайты «Лаборатории Касперского». Каждый вопрос относится к актуальной версии соответствующей программы, если в самом вопросе не указано иное.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 2 000 баллов Одна ошибка — 1700 баллов Две ошибки — 1200 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 09 ноября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю@Mrak (пользователей @andrew75, @oit и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • KL FC Bot
      От KL FC Bot
      В начале июля мы писали о таргетированной рассылке писем с вредоносными вложениями для сбора конфиденциальной информации с компьютеров различных компаний. Мы продолжаем отслеживать эту активность злоумышленников и обратили внимание на изменения в их поведении. Теперь стоящая за рассылкой группировка, получившая название Librarian Ghouls, интересуется не только офисными документами, но и файлами, используемыми ПО для моделирования и разработки промышленных систем.
      Как Librarian Ghouls охотятся за информацией
      Методы, используемые злоумышленниками для распространения зловреда и кражи данных, равно как и применяемые ими инструменты, с июля не изменились. Они даже не сменили домен, на который отправляют похищенные данные, — hostingforme[.]nl. По большому счету изменились только названия файлов, которые они используют в качестве приманки, и форматы файлов, которые зловред собирает для отправки на контрольный сервер.
      Если быть кратким, то Librarian Ghouls рассылают вредоносные архивы RAR с файлами .SCR, названия которых имитируют офисные документы. Если жертва запускает файл, то зловред скачивает на компьютер дополнительную полезную нагрузку, собирает интересующие злоумышленников данные в архивы и отправляет их злоумышленникам.
      В августе и начале сентября наши системы зарегистрировали использование следующих названий файлов, маскирующихся под документы:
      Исх_09_04_2024_№6_3223_Организациям_по_списку_Визуализация_ЭП.scr Исх_20_08_2024_№6_3223_Организациям_по_списку_Визуализация.scr Исх_28_08_2024_№6_3223_Организациям_по_списку_Визуализация.scr Исх_02_09_2024_№6_3223_Организациям_по_списку_Визуализация.scr Проект ТТТ 13.08.2024-2.doc.scr Проект ТТТ 27.08.2024-2.scr Запрос КП.docx.scr  
      View the full article
    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • Elly
      От Elly
      Друзья!
       
      «Лаборатория Касперского» существует уже 27 лет. За это время компанией выпущено огромное число различных защитных решений. Большинство решений для домашних пользователей выпускается в коробочных версиях. Некоторые из этих коробок выпускались не просто в необычном, а даже в эксклюзивном дизайне.
      Небольшой пример необычного варианта коробочной версии Kaspersky Internet Security:
       
       
      Мы подготовили для вас викторину по дизайну коробок, в которых выпускались продукты «Лаборатории Касперского».
       
      ПРАВИЛА
      – викторина состоит из 12 вопросов, опубликованных ЗДЕСЬ;
      – каждый вопрос относится к коробке, фрагмент изображения которой представлен в этом вопросе;
      – варианты ответов не предоставляются;
      – заполнить и отправить форму можно несколько раз, но засчитан будет только первый отправленный ответ.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 500 баллов Одна ошибка — 1 200 баллов Две ошибки — 800 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 23 октября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @andrew75 (пользователей @oit и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами.
      Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Elly
      От Elly
      Друзья!
       
      Продукция «Лаборатории Касперского» многократно удостаивалась самых разнообразных наград. Признание заслуг сотрудников «Лаборатории Касперского» по созданию программ, заслуживающих высочайшей оценки, осуществлялось множеством экспертных организаций. Мы подготовили для вас викторину, посвящённую полученным наградам компании, оценкам конкретных продуктов, результатам тестирования программ «Лаборатории Касперского» независимыми лабораториями. Для ответов на все вопросы достаточно использовать материалы официального сайта.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 300 баллов Одна ошибка — 1 000 баллов Две ошибки — 700 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 17 сентября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю@Mrak (пользователей @Машуня и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
×
×
  • Создать...