Zeus не видим для большинства антивирусов

image

Теги: Zeus, троян, шифрование, антивирус

ThreatMetrix Labs: Сделать троян вновь невидимым для антивирусов заняло у авторов программы пару часов.

Широкое распространение троянского приложения Zeus, а также его усиленная поддержка со стороны вирусописателей вызывает серьезные опасения. Такое заявление сделали эксперты из ThreatMetrix Labs, которые подробно рассмотрели последние модификации вируса в своем аналитическом отчете.

Специалисты напомнили, что в настоящий момент Zeus не использует C&C-серверов, заменяя их командами, посылаемыми в сеть P2P через одного из ботов. При этом целостность всей системы сохраняется благодаря надежному шифрованию конфигурационных файлов. Более того, постоянное изменение криптографической защиты делает Zeus не видимым для существующих антивирусных систем, подчеркивают в ThreatMetrix Labs.

«Постоянное изменение методов его (Ред.- вируса) шифрования внушает тревогу. Фактически, эксперты ThreatMetrix зафиксировали не менее шести различных способов», - сообщили исследователи в своем докладе. По их словам, беспрерывное изменение векторов атак и криптографическая защита делает антивирусные компании практически бессильными.

Отметим также, что специалисты предоставили примеры некоторых новых типов атак Zeus, обнаружить которые удалось после расшифровки одного из конфигурационных файлов (был проанализирован образец Zeus с MD5-хэшем 7ebe4e6f8e5ea5981f4b32cd9465e6a3).

По данным ThreatMetrix Labs, у данной модификации трояна имеется 988 функций, 561 из которых имелась в прошлом году, а еще 427 были добавленных после ноября 2011 года, что свидетельствует об очень быстром темпе появления разновидностей трояна.

В настоящий момент конфигурационные файлы Zeus шифруется четырёхбайтовым ключом XOR, формируемым из таких элементов: (item length << 0x10) | (0xFFFF & item id) | (BinStorage Count << 8).

Изменение предыдущего метода шифрования на данную вариацию заняло у авторов вируса «всего лишь несколько часов», однако это сделало новый вариант Zeus вновь не видим для антивирусов.

Ознакомиться с отчетом ThreatMetrix Labs можно  здесь .  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus