P2P Zeus содержит руткит


FortinetСпециалисты из Fortinet зафиксировали в Сети активность ботнета из устройств, зараженных при помощи банковского трояна Zeus. Особенность данного варианта вредоносного ПО заключается в его установке руткита, предотвращающего его распознавание антивирусными решениями.

Перед началом своей активности выявленный вредонос сканирует компьютер в поисках уже установленной версии 0x38 трояна ZeuS. Затем он заменяет ее бинарными файлами версии 0X3B.

Каждый бинарник P2P Zeus извлекает номер версии из пакета обновления, а затем сравнивает его с номером, жестко указанным в коде, чтобы подтвердить удачную установку апдейта.

Единственным отличием новой версии P2P Zeus от его предшественников в том, что он размещает файл драйвера руткита в папку

  • %SYSTEM32%\drivers


Напомним, что более ранние варианты трояна устанавливали его вместе со всем функционалом.

Для справки, руткит значительно усложняет процесс обнаружения вредоноса, а также его удаление с зараженной системы.

Специалисты уверены, что инфицирование ботов удалось при помощи вредоносной кампании с использованием поддельных писем от Sturbucks.


Обновлено (22.04.2014 17:07)