Грозный «Зевс» осваивает вирусные трюки
Новый вариант ZeuS, обнаруженный недавно экспертами, наделен дополнительным функционалом, позволяющим ему заражать исполнимые файлы.
Фрагмент кода, внедренного в исполняемый файл (источник: Symantec)
Он достаточно примитивен, при активации загружает с предписанного URL и исполняет дополнительный файл, а затем запускает оригинальный код троянца. Таким образом, если удалить основной компонент ZeuS, паразитный код останется в облюбованном файле, сможет загрузить обновления, и троянец будет вновь хозяйничать в системе.
По словам вирусного аналитика ЛК С. Голованова, новое направление эволюции ZeuS чревато тем, что этот популярный в криминальных кругах троянец, эффективно ворующий информацию, получит дополнительный механизм для распространения. Отвечая на вопросы «Вебпланеты» по поводу новой угрозы, эксперт отметил, что это «пробный шар»: «Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. пока говорят о слабой квалификации разработчика данного вируса». Однако по мере совершенствования вирусной составляющей распространение ZeuS может принять характер эпидемии. Ведь троянцы, указывает Голованов, вычисляются за несколько секунд, а детектирование вируса занимает до нескольких недель.
Загрузившись в систему, эта модификация, которую ЛК детектирует как Trojan.Win32.ZbotPatched.a, отыскивает в заданном месте exe-файлы и внедряет в них 512-байтовый код. Затем троянец изменяет точку входа таким образом, чтобы вначале выполнялся код-паразит.
Дата публикации: 24, Апреля 2010 г.
Источник: Лаборатория Касперского
