Троянинът на Зевс се завръща след месеци мълчание

Троянският троянски Зевс се завърна, с нов код и възможности, заявиха наскоро изследователите на Trend Micro.

След като практически няма активност през януари, вариантите на Зевс нараснаха в началото на февруари и продължиха да бъдат активни всеки месец, достигайки връх през средата на май, пише Джей Янеза, член на екипа за техническа поддръжка на Trend Micro, пише в блога на Trendlabs Security Intelligence. По-новият вариант се държи различно, след като зарази компютъра, но все пак краде информация за вход от финансови уебсайтове и други чувствителни сайтове.

Зевс по същество беше тих през по-голямата част от миналата и началото на тази година, след като Microsoft и неговите правоприлагащи партньори успешно завзеха няколко сървъра за командване и управление на Zeus през март 2012 г. По това време Microsoft призна, че кампанията срещу Zeus не е пълна отнехте усилия, защото имаше повече C&C сървъри, които все още работеха. Въпреки това, Microsoft прекъсна операциите и осакате ключови компоненти на инфраструктурата, за да направи Zeus не толкова често, колкото беше преди.

"Старите заплахи като ZBOT винаги могат да се върнат, защото киберпрестъпниците печелят от тях", каза Янеза.

Zeus е троянски информационен троянец, предназначен да открадне идентификационни данни за вход в интернет на чувствителни сайтове от потребители, като например онлайн банкиране и имейл акаунти. Зевс също краде лична информация. Предишните варианти запазваха откраднати данни и конфигурационен файл в системна папка на Windows и променяха хост файла, така че потребителите да не могат да имат достъп до сайтове, свързани със сигурността. Конфигурационният файл съдържа имената на финансовата институция, която зловредният софтуер търси в сесията на браузъра на потребителя.

„Злобните участници могат да променят списъка със сайтове, които искат да наблюдават в засегнатата система“, каза Янеза.

Разлика между вариантите

Новите варианти създават две произволно наречени папки в потребителската директория, една за злонамерения софтуер и една за криптирани данни. Най-новите Zeus Trojans са "най-вече или Citadel или GameOver варианти", каза Yaneza. И двата варианта изпращат DNS заявки до произволни имена на домейни, за да търсят командно-контролния сървър. Заразената машина получава списък на сайтовете, които да наблюдава от C&C сървъра.

„Ограждането на открадната банкова и друга лична информация от потребителите е доходоносен бизнес на подземния пазар“, каза Янеза.

Потребителите трябва да внимават да отварят имейл съобщения и да кликват върху връзки. Те трябва да поставят отметка на надеждни сайтове, за да не бъдат случайно пренасочени към злонамерени сайтове, защото те въвели името в адресната лента на URL адресите. Компютърът също трябва да бъде актуален с най-новите актуализации за операционната система, общ софтуер и продукти за сигурност.