Выявлена новая версия трояна Zeus


MalwareBytesСпециалисты компании Malwarebytes зафиксировали в Сети активность новой модификации банковского трояна Zeus/Zbot. Выявленный вредонос использует изображения в качестве приманки для загрузки конфигурационного файла, который необходим для вредоносной активности.

Если говорить более обширно, то Zeus использует для своей дистрибуции такой способ распространения, как стеганография. Т.е., код Zeus встраивается в байт-код графического файла и выглидит с точки зрения пользователя, как обычная фотография или изображение.

Напомним, что Zeus является одним из самых известных кодов для кражи банковских реквизитов с целью получения контроля над системами онлайн-банкинга.

Новый вариант зловреда, получивший название ZeusVM, скачивает конфигурационный файл, содержащий список банковских доменов, с которыми вредонос работает, осуществляя свою противозаконную деятельность. Кроме того ZeusVM загружает JPG-изображения, расположенные на тех же серверах, что и другие вредоносные компоненты.

Эксперты установили, что обнаруженный вредоносный код использует JPG-файлы для собственной маскировки и отсылает краденные данные на серверы тех же сетей, что и прежние версии Zeus.

Также эксперты утверждают, что принцип стеганографии давно использовался вредоносным софтом, с целью повысить вероятность сокрытия вредоносного кода от антивирусных сканеров. Другими словами, злоумышленники используют стеганографию для маскировки данных внутри существующего файла, не повреждая его.

Чтобы вычислить вредоносный код в изображении, необходимо сравнить размер "чистой" (исходной) и "вредоносной" картинки или сравнить в режиме bitmap. Данные Zeus в байткоде закодированы при помощи алгоритмов RC4 и XOR. В первую очередь Zeus интересуется такими онлайн-банкингами, как:

  • Deutsche Bank;
  • Wells Fargo;
  • Barclays.


Подобный факт сокрытия вредоносного кода происходит не впервой. Так, недавно эксперты из Sucuri обнаружили зараженные PNG-файлы, содержащие вирус.


Обновлено (19.02.2014 17:44)