Обнаружена новая модификация трояна Zeus

image

Теги: Zeus, ботнет, троян, исследование, Symantec

Исследователи компании Symantec утверждают, что обновленный банковский троян использует исключительно P2P коммуникации.

Согласно сообщению исследователей из антивирусной компании Symantec, в сети Интернет появилась новая модификация известного банковского трояна Zeus. Специалисты отмечают, что для коммуникации обновленное вредоносное приложение использует исключительно P2P сети. Это дает злоумышленникам возможность децентрализовано управлять ботнетом.

«Каждый пир в ботнете может выступать в качестве C&C сервера, и в то же время ни один из них не является им», - пояснила исследователь Symantec Андреа Лели (Andrea Lelli) в своем блоге.

По словам эксперта, ранее каждый из компьютеров ботнета выступал в качестве пира, а конфигурационный файл, содержащий адрес C&C сервера, передавался поочередно от одного зараженного компьютера к другому.

«Нам пока неизвестно, как похищенные данные передаются злоумышленникам, но вполне вероятно, что они проходят через ряд пиров, прежде чем попасть в зону, контролируемую злоумышленниками», - отметила Лели.

Данная модификация Zeus включает встроенный web-сервер на базе Nginx (популярный web-сервер с открытым исходным кодом). При этом каждый бот может работать с HTTP-запросами, что позволяет ему выполнять функции C&C. Подобными методами пользуются ботнеты Waledac и Kelihos.

Также Symantec удалось обнаружить, что протокол связи стал более широко использовать UDP, что затрудняет мониторинг данных, проходящих через сеть зараженных компьютеров.

Исследователи также напомнили, что главным вектором инфекции, используемым Zeus, являются электронные письма с вредоносными вложениями. Более подробно ознакомиться с анализом экспертов можно здесь.  


или введите имя

CAPTCHA
К.О.
28-02-2012 11:29:09
Хочу отметить, что UDP используется как проверка подлинности запроса. Если она пройдена успешно боты инициируют обмен более важной для них информацией. К примеру, файлы конфигурации, список прочих узлов ботсети и прочее. Таким образом, посторонний пользователь не может выдать себя за бота и получить доступ к данным которые передаются внутри сети зараженных ПК. Так-то!
0 |