Архив новостей

Грозный «Зевс» осваивает вирусные трюки

Новый вариант ZeuS, обнаруженный недавно экспертами, наделен дополнительным функционалом, позволяющим ему заражать исполнимые файлы.

Он достаточно примитивен, при активации загружает с предписанного URL и исполняет дополнительный файл, а затем запускает оригинальный код троянца. Таким образом, если удалить основной компонент ZeuS, паразитный код останется в облюбованном файле, сможет загрузить обновления, и троянец будет вновь хозяйничать в системе.

По словам вирусного аналитика ЛК С. Голованова, новое направление эволюции ZeuS чревато тем, что этот популярный в криминальных кругах троянец, эффективно ворующий информацию, получит дополнительный механизм для распространения. Отвечая на вопросы «Вебпланеты» по поводу новой угрозы, эксперт отметил, что это «пробный шар»: «Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. пока говорят о слабой квалификации разработчика данного вируса». Однако по мере совершенствования вирусной составляющей распространение ZeuS может принять характер эпидемии. Ведь троянцы, указывает Голованов, вычисляются за несколько секунд, а детектирование вируса занимает до нескольких недель.

Загрузившись в систему, эта модификация, которую ЛК детектирует как Trojan.Win32.ZbotPatched.a, отыскивает в заданном месте exe-файлы и внедряет в них 512-байтовый код. Затем троянец изменяет точку входа таким образом, чтобы вначале выполнялся код-паразит.

Грозный «Зевс» осваивает вирусные трюки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике