p2p функционал в трояне Zeus усложняет уничтожение ботнетов

image

Теги: ботнет, троян, P2P

Новый штамм троянской программы Zeus наделен p2p функционалом, что позволяет операторам ботнета отправлять обновления и команды зомби-компьютерам без соединения с командным сервером.

Новый штамм троянской программы Zeus наделен p2p функционалом, что позволяет операторам ботнета отправлять обновления и команды зомби-компьютерам без соединения с командным сервером. Этот вид вредоносной программы, известной под названием Murofet, помешает специалистам в области информационной безопасности и правоохранительным органам обезвреживать ботнеты путем отключения их командных серверов. Исследователь, который предпочел остаться неназванным, заявил о том, что ему удалось обнаружить компьютеры с 100 000 уникальных IP-адресов, которые были заражены новым штаммом троянской программы.

Зомби-компьютеры под управлением Murofet используют исходный список IP-адресов. Они отправляют UDP-пакеты по большому количеству портов и ждут, пока другие боты ответят с дополнительных адресов, которые также являются частью p2p сети.

Если удаленный узел работает с более новой версией программного обеспечения, он рассылает обновления на другие машины, используя TCP-соединение. P2p функционал был добавлен примерно в то же время, когда вредоносная программа стала работать по принципу генерации доменов, который позволял ботам в определенное время подключаться к специально созданным доменным именам.

Новая структура Murofet позволяет ему не использовать постоянные URL-адреса для загрузки файлов обновления и конфигурации, что усложняет работу ИТ-специалистов. Однако вредоносная программа все еще остается уязвимой из-за того, что она зависит от центрального домена и работает по централизованному принципу генерации доменов в случае подключения к главному серверу.

или введите имя

CAPTCHA
nekto
13-10-2011 13:14:57
Если специалисты ИБ знают как работает вирус, как он получает обновления, что им мешает создать обновление вируса, которое будет загружаться на зараженные машины и обезвреживать вирус.
0 |
ага щаз
13-10-2011 14:42:52
Если вирусов не станет, зачем тада иб-специалисты будут нужны? А если серьезно, то м.б. обновления подписываются чем-то вроде эцп? И/или их источник тоже жестко проверяется.
0 |
FilimoniC
13-10-2011 16:56:14
Это противоречит законодательству. (Комментарии к 237 статье Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации, причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.) Нельзя без спроса заливать на машины юзеров ничего вообще, в том числе и антивирусы.
0 |
Нанобот
13-10-2011 18:09:16
мешает криптозащита в вирусах - вирус проверяет ЭЦП обновления и только при успешной проверке обновляется. хотя, есть ли такое лично в zeus - хз
0 |
jast me
02-04-2012 19:25:00
Таким образом Мелкомягкие наказывают владельцев крякнутых осей!Они на нашей стороне. (только никому не говорите)
0 |