Video: Win32.trojan.₯ỿӷ.exe | Не друг ты мне! (Oktober 2024)
Trojan z Zeus bankingom se je vrnil, z novo kodo in zmogljivostmi, so nedavno povedali raziskovalci Trend Micro-ja.
Potem ko v januarju praktično ni bilo aktivnosti, so se v začetku februarja Zeusove različice povečale in bile aktivne še vsak mesec, vrhunec pa je bil sredi maja, je na blogu Trendlabs Security Intelligence zapisal Jay Yaneza, član tehnične podporne skupine Trend Micro. Novejša različica se, ko okuži računalnik, obnaša drugače, vendar informacije o prijavi še vedno ukrade s finančnih spletnih strani in drugih občutljivih spletnih mest.
Zeus je bil v glavnem tiho večino lanskega in začetka tega leta, potem ko je Microsoft in njegovi partnerji pregona marca 2012. uspešno zasegli več strežnikov za povezovanje in nadzor Zeus. Microsoft je takrat priznal, da kampanja proti Zeusu ni bila popolna se je lotil truda, ker je bilo še več C&C strežnikov, ki še vedno delujejo. Kljub temu je Microsoft motil delovanje in pohabil ključne komponente infrastrukture, da Zeus ni tako pogost kot nekoč.
"Stare grožnje, kot je ZBOT, se lahko vedno vrnejo, ker kibernetski kriminalci dobijo od tega koristi, " je dejal Yaneza.
Zeus je trojanski sistem za krajo informacij, namenjen kraji poverilnic za spletno prijavo na občutljiva spletna mesta pri uporabnikih, kot so spletno bančništvo in e-poštni računi. Tudi Zeus krade osebne podatke. Prejšnje različice so ukradene podatke in konfiguracijsko datoteko shranile v sistemsko mapo Windows in spremenile gostiteljsko datoteko, tako da uporabniki niso mogli dostopati do varnostnih mest. Konfiguracijska datoteka vsebuje imena finančnih institucij, ki jih zlonamerna programska oprema išče v seji brskalnika uporabnika.
"Zlonamerni akterji lahko spremenijo seznam spletnih mest, ki jih želijo spremljati v prizadetem sistemu, " je dejal Yaneza.
Razlika med različicami
Nove različice ustvarjajo dve naključno imenovane mape v uporabniškem imeniku, eno za zlonamerno programsko opremo in eno za šifrirane podatke. Najnovejši Zeus Trojani so "večinoma različice Citadel ali GameOver", je dejal Yaneza. Obe različici pošiljata poizvedbe DNS na naključna imena domen, da bi iskali strežnik ukazov in nadzora. Okuženi stroj prejme seznam spletnih mest, ki jih lahko spremlja s C&C strežnika.
"Obvedovanje ukradenih bančnih in drugih osebnih podatkov uporabnikov je donosen posel na podzemnem trgu, " je dejala Yaneza.
Uporabniki morajo biti previdni pri odpiranju e-poštnih sporočil in kliku na povezave. Zaznamek bi morali zaznamovati tako, da jih slučajno ne bodo preusmerili na zlonamerna mesta, ker so v naslovno vrstico vtipkali ime. Računalnik naj bo tudi posodobljen z najnovejšimi posodobitvami za operacijski sistem, skupno programsko opremo in varnostne izdelke.
