Zeus не видим для большинства антивирусов

image

Теги: Zeus, троян, шифрование, антивирус

ThreatMetrix Labs: Сделать троян вновь невидимым для антивирусов заняло у авторов программы пару часов.

Широкое распространение троянского приложения Zeus, а также его усиленная поддержка со стороны вирусописателей вызывает серьезные опасения. Такое заявление сделали эксперты из ThreatMetrix Labs, которые подробно рассмотрели последние модификации вируса в своем аналитическом отчете.

Специалисты напомнили, что в настоящий момент Zeus не использует C&C-серверов, заменяя их командами, посылаемыми в сеть P2P через одного из ботов. При этом целостность всей системы сохраняется благодаря надежному шифрованию конфигурационных файлов. Более того, постоянное изменение криптографической защиты делает Zeus не видимым для существующих антивирусных систем, подчеркивают в ThreatMetrix Labs.

«Постоянное изменение методов его (Ред.- вируса) шифрования внушает тревогу. Фактически, эксперты ThreatMetrix зафиксировали не менее шести различных способов», - сообщили исследователи в своем докладе. По их словам, беспрерывное изменение векторов атак и криптографическая защита делает антивирусные компании практически бессильными.

Отметим также, что специалисты предоставили примеры некоторых новых типов атак Zeus, обнаружить которые удалось после расшифровки одного из конфигурационных файлов (был проанализирован образец Zeus с MD5-хэшем 7ebe4e6f8e5ea5981f4b32cd9465e6a3).

По данным ThreatMetrix Labs, у данной модификации трояна имеется 988 функций, 561 из которых имелась в прошлом году, а еще 427 были добавленных после ноября 2011 года, что свидетельствует об очень быстром темпе появления разновидностей трояна.

В настоящий момент конфигурационные файлы Zeus шифруется четырёхбайтовым ключом XOR, формируемым из таких элементов: (item length << 0x10) | (0xFFFF & item id) | (BinStorage Count << 8).

Изменение предыдущего метода шифрования на данную вариацию заняло у авторов вируса «всего лишь несколько часов», однако это сделало новый вариант Zeus вновь не видим для антивирусов.

Ознакомиться с отчетом ThreatMetrix Labs можно здесь.  


или введите имя

CAPTCHA
Страницы: 1  2  
vfdg
28-06-2012 13:39:28
Это заняло 5 а не "несколько часов".
0 |
vfdg
28-06-2012 13:39:56
* 5 минут
0 |
28-06-2012 16:10:20
Возникает вопрос: зачем тогда нужны антивирусы, если зловреды так легко их обходят? Проще уж думать в сторону ограничения прав и периодических Full Scan-ов
0 |
96571
28-06-2012 21:16:54
Антивирус +1 к защите +10 к спокойствию пользователя и +1000 к машне АВ конторы Ограниченя прав в плане защиты данных пользователя, или вы в серьёз предлагаете защищать системные файлы , не помогают, как и фулскан. Нужна защита пользовательских данных в реальном времени, а ещё лучше софт без ошибок.
0 |
Обломов
29-06-2012 04:23:30
" Ограниченя прав в плане защиты данных пользователя" это как понять?
0 |
пипкин
29-06-2012 10:45:52
ахахах )) он, наверное, имел в виду запрет на запись в свои же файлы/документы пользователю ))))
0 |
gmos
29-06-2012 12:33:25
Хмммм зесь только я вкурсе, что зевс с февраля прошлого года уже не актуален? Свежих версий не выпускают, и ими никто не пользуется! Есть другие, на подобии, так что автор либо не знал, что это другие, либо он не очень вник в тему вопроса...
0 |
Страницы: 1  2