Троянские программы семейства ZBot (ZeuS)


Троянские программы семейства ZBot (ZeuS) появились в 2007 году. Благодаря простоте конфигурации и удобству использования для кражи веб-данных, ZeuS стал одной из самых распространяемых и продаваемых программ-шпионов на черном рынке интернета.


Работа трояна в системе жертвы

  • Все, что запоминается на компьютере, становится доступным и для трояна, будь то логины, пароли или какие-то другие данные, например, для автозаполнения полей на веб-страничках;

  • Троян следит за нажатием вами клавиши, и введенной последовательностью символов, которая дает допуск к вашим деньгам;

  • Чтобы избежать "подсматривания" вводимых с клавиатуры данных, на сайтах зачастую используется такой инструмент, как виртуальная клавиатура. При вводе пароля вы щелкаете левой кнопкой мыши по клавишам клавиатуры, которая отображается на экране монитора. В этом случае ZeuS включает другой механизм перехвата данных пользователя: как только вы нажимаете левую кнопку мыши, ZeuS запоминает картинку — область экрана вокруг курсора. Так что злоумышленник будет знать, какие клавиши вы выбирали на экране мышкой;

  • ZeuS контролирует все данные, проходящие через ваш браузер. Если вы попытаетесь открыть веб-страницу, адрес которой присутствует в файле конфигурации ZeuS, троян может изменить скачанный код страницы до того, как вы увидите ее в окне браузера. Изменение представляет собой добавление новых полей для ввода личных и секретных данных. Ну попросил у вас банк (а вы же уверены, что находитесь на сайте банка), кроме пользовательского пароля, ввести еще и ваш пин-код для карты. Но это уловка мошенника! Запрос пин-кода добавил ZeuS, а в изначальном коде странички банка такого запроса не было! Введенный пин-код троянец перехватывает и отправляет своему хозяину;

  • Некоторые сайты, когда вы регистрируетесь на них, создают на вашем компьютере специальные цифровые подписи, достоверность которых проверяется при последующих посещениях. Такие подписи называются сертификатами. Если ваш браузер не предоставит сайту соответствующего сертификата, сайт не даст вам полноценного доступа. На зараженном компьютере ZeuS находит такие сертификаты безопасности, крадет их и пересылает злоумышленнику;

  • Если злоумышленнику понадобится ваш компьютер как инструмент для совершения противозаконных действий (например, для рассылки спама), то ZeuS предоставит своему хозяину возможность установить на зараженной машине все необходимое для этого программное обеспечение.


В случае заражения вашего компьютера троянцем ZeuS, преступник вас либо ограбит, либо, если взять у вас нечего — у него будет возможность использовать ваш компьютер в своих преступных целях.
Зараженные компьютеры, связанные с одним "хозяином", составляют так называемую зомби-сеть. Злоумышленник управляет попавшимися в его сети компьютерами, что пользователи могут даже не догадываться об этом. В то время, когда с их компьютеров рассылается спам или злоумышленник использует их выход в интернет для скрытия своей точки доступа во всемирную паутину. Месяцами жертвы могут пребывать в блаженном неведении, что их компьютеры участвуют в преступных махинациях.

С момента появления первой версии ZeuS и по настоящее время зафиксировано более сорока тысяч разновидностей этой троянской программы. ZeuS регулярно меняет свой вид. Например, уже находясь в зараженной системе, он обновляется с меняющихся интернет-адресов. Поэтому для пользователей, на компьютеры которых загрузились новые версии троянца, толку от "противоядия" для предыдущих версий будет немного. Один из вариантов борьбы - как можно быстрее реагировать на обновления ZeuS. Оперативность в данном случае имеет очень большое значение.
А по количеству различных вариаций, по количеству адресов, куда стекаются данные для злоумышленника и откуда отправляются команды на зомби-компьютеры (такие адреса называются центрами управления), ZeuS занимает одну из лидирующих позиций среди незаконного ПО.


Способы защиты

  • Не проходите по незнакомым ссылкам, которые навязывают вам неизвестные люди. Как правило, ссылки на вредоносные программы приходят в сообщениях ICQ (или других клиентов) или в письмах электронной почты. Нередко злоумышленники маскируют адреса под название какого-нибудь известного легального портала, например, просто поменяв местами две буквы: hxxp://www.vkontkate.ru. Будьте внимательны и не теряйте бдительность. Не дайте себя обмануть.

  • В сообщениях можно увидеть нейтральный текст, присланный, в том числе, и от вашего знакомого или знакомой. Например, "Привет! Как съездил на выходных? А у меня для тебя новость! Зайди и почитай, обалдеешь: http://rss.lenta-news.ru/subj/vesti.exe". Обратите внимание на расширение открываемого файла ".exe" — это исполняемый файл ОС Windows. А ссылка запускает программу с вредоносного интернет-адреса.

  • В сообщениях обращаете внимание на формат документа, т.к. не только исполняемые файлы несут угрозу. Это могут быть и документы формата .pdf (Adobe Reader), .ppt (Microsoft Office), .swf (Adobe Flash) и другие. Такие документы имеют довольно непростую структуру, что требует сложных программных вычислений при их открытии. Кроме того, разработчиками предусмотрен механизм добавления в них кода программы (тот же javascript, например). Подобранные злоумышленником в таких документах данные могут вызвать ошибку в программе, открывающей файлы таких форматов, а это даст возможность запустить вредоносный код на вашей машине. Если у вас установлен антивирус с последними обновлениями, и вы постоянно обновляете установленные на вашем компьютере программы, то вы в немалой степени защищены. Есть неплохой шанс, что программа/документ будет определена как вредоносная, и ее запуск/открытие заблокируется, или уязвимость в программном обеспечении вовремя будет исправлена разработчиками, и у вас вовремя произойдет обновление.

  • В письмах, документах Microsoft Word и подобных, или на сайтах, настоящая ссылка вообще может быть скрыта от ваших глаз, а будет отображено только описание к ссылке (надпись для привлечения внимания потенциальной жертвы). В таких случаях желательно проверить ссылку через свойства ссылки. А если вы все-таки не уверены в достоверности ссылки - лучше всего воздержаться от перехода по ней.

  • Чем более удобна для вас ваша операционная система, чем больше за вас она помнит, и многое позволяет: легко предоставляет доступ к данным, не надоедает вопросами о подтверждении действий, не спрашивает по 100 раз пароли, тем менее защищенным является ваш компьютер. Таким же комфортом пользуется в вашей системе и любая запущенная в ней программа. А если эта программа вредоносная, то ваш комфорт оборачивается против вас: преступнику предоставляется тот же легкий доступ к данным, который вы определили для себя в ущерб безопасности. Все, что знает, например, ваш браузер, узнает и зловред. За удобство приходится платить повышенной уязвимостью. Старайтесь не доверять запоминание паролей программам.

  • Рекомендуется также отключить в интернет-браузере выполнение Javascript и запуск программ и файлов в окне iframe/frame. Это, конечно, ограничит возможности обозревателя, но здесь надо делать выбор: или удобство и красота, или безопасность. (Javascript лучше отключить и в программе Adobe Reader, которая открывает файлы формата .pdf.) Лучше включить эти возможности эти возможности на доверенных сайтах и документах.


В настоящее время, для обеспечения безопасности при интернет-расчетах, распространено два способа:

  1. Система, кроме соответствия логина и пароля, требует подтверждения операций по телефону, то есть имеется привязка к номеру телефона. Это очень усложнит нелегальный доступ к вашим деньгам. В дополнение к вашему логину и паролю злоумышленнику потребуется стащить у вас еще и телефон, что через интернет сделать довольно проблематично (или создать копию вашей сим-карты, что вообще из области фильмов про шпионов). Странно, что этим простым способом подтверждения пренебрегает большинство сервисов.

  2. Чаще используется банками, когда пользователю (клиенту банка) выдается брелок (usb-устройство), который подключается к компьютеру и в случае необходимости подтверждает системе, что это именно клиент соединяется с системой интернет-банкинга. Но тут надо напомнить, что не все такие брелоки одинаковые. На заре использования usb-брелоков были случаи, когда злоумышленникам удавалось взломать простенькие системы безопасности, использующие подход с usb-устройствами.


А один из рекомендованных способов обезопасить свой компьютер при работе, не только в сети, но и вообще - это постоянно быть начеку и не терять здравого смысла.