Зевс все еще жив

Некоторое время назад стало известно о том, что разработка ZeuS перешла к создателю другой троянской программы-конкурента SpyEye. Теперь все ждут, когда же в результате слияния двух этих программ-шпионов появится новый «монстр». Скорее всего, разработчик SpyEye выжмет из ZeuS самое ценное и реализует в SpyEye. Некоторые исследователи уже нашли куски кода, изначально принадлежащего ZeuS, в самплах SpyEye.

Часть кода SpyEye, идентичная коду ZeuS

Мы не ждали, что после передачи разработки ZeuS будут появляться новые модификации этого троянца. Конечно, мы все еще получаем стабильный поток самплов ZeuS, но практически все они давно известные версии вредоносной программы. Новые варианты чаще всего получаются просто путем пересборки с помощью конструкторов ZeuS, так называемых ZeuS-builder-ов, одним нажатием кнопки в таких программах. Но время от времени я натыкаюсь на необычные образцы троянца, и сейчас у меня имеются серьезные основания полагать, что ZeuS в той или иной степени все еще поддерживается и развивается.

Все началось с того, что пару месяцев назад мы обнаружили ZeuS, который имел новый функционал: он проверял, не выполняют ли его на тестовой платформе, например, внутри сэндбокса исследовательской компании. Троянец прекращал свое выполнение, если по некоторым признакам определял, что запущен в определенном окружении для анализа.

Ниже приведен пример одной из проверок — ZeuS проверяет, не запущен ли он на виртуальной машине VMware путем открытия специфических для этой виртуальной машины устройств:

1-я проверка, не запущен ли ZeuS на виртуальной машине VMware

2-я проверка, не запущен ли ZeuS на виртуальной машине VMware

Несколько недель назад появился другой ZeuS со странной для этого семейства активностью. Все последние варианты ZeuS имели один и тот же алгоритм расшифровки секции внутри своего кода, которая содержала начальные внутренние настройки троянца (ссылка, по которой должен загружаться файл конфигурации, ключ шифрования трафика и т.п.). Так вот, в новом необычном сампле обнаружилось двойное шифрование. Сначала данные расшифровываются по стандартному алгоритму, но адрес к файлу конфигурации при этом получается фальшивый. И только вторая расшифровка дает реальную ссылку на файл конфигурации, в котором, собственно, указывается адрес центра управления ботнетом.

Ниже показано, как это выглядит в действительности. После первой расшифровки в секции видны начальные настройки (подсвечены зеленым), но ссылка внизу фальшивая. Настоящая ссылка скрыта в области, выделенной красным, она проявится только после второй расшифровки.

Расшифровка секции начальных данных

А несколько дней назад я нашел ZeuS, который тоже проверяет, не запущен ли он для анализа, например, в антивирусной компании. Функционал тот же, но уже с небольшими изменениями: добавился еще один критерий для обнаружения новой тестовой площадки.

Этот вариант ZeuS к тому же имеет измененные по структуре части кода, которые оставались неизменными более полугода — а это тысячи и тысячи модификаций троянца.

Изменение одной из раннее неизменных частей кода ZeuS

Изменение части кода указывает на то, что сампл был создан с помощью новой перекомпилированной версии ZeuS-конструктора.

Отмечу, что такой функционал определения тестовых платформ уникален. Я бы сказал, скорее всего, он был добавлен к основному функционалу ZeuS по заказу как специальная функция, опция, если хотите. Таким образом, очень похоже на то, что эта модификация ZeuS является свидетельством продолжения технической поддержки последних важных клиентов, пользующихся троянцем.

В итоге, что же это такое? Предсмертные агонии умирающего «бога», или наоборот – перевоплощение в новую ипостась? Может быть, ZeuS станет менее распространенным, не для масс, но более эксклюзивным, так сказать, для избранных? Что ж, время покажет…