Taktikát váltott a hírhedt Zeus trójai

A Zeus trójai a megjelenése óta jelentős károkat okozott az egyéni és a vállalati felhasználók körében is. Az ártalmas program elsősorban botnetek kialakítására és adatlopásra rendezkedett be, de az idők során számos funkcióval gyarapodott, és a kiberbűnözés egyik legkedveltebb eszközévé vált. Ezáltal a Zeus készítői jelentős bevételre tettek szert. Azonban nemrégen a Zeus egyik variánsának forráskódja kikerült az internetre, ami sokak érdeklődését keltette fel. Már akkor lehetett sejteni, hogy ez az esemény azt fogja előidézni, hogy a Zeus minden eddiginél több változatban fog megjelenni. Úgy tűnik, hogy a jóslatok beváltak, ugyanis a kártékony program újabb és újabb funkciókkal gyarapodik.

Ezúttal a trójaiba egy P2P (peer-to-peer) összetevő került, amelynek segítéségével a jövőben jóval nehezebben lesznek leállíthatók az általa felépített botnetek. Itt kell megjegyezni, hogy a Zeus eddig is több trükkel rendelkezett a terjedésének és az életben maradásának elősegítése érdekében. Egy évvel ezelőtt a Trend Micro számolt be arról a LICAT nevű kódról, amely kifejezetten a Zeushoz készült, és a feladata az volt, hogy látszólag véletlenszerűen generált domain nevek révén biztosítsa a trójai rendszeres frissítését. A valóságban azonban az URL-ek nem voltak teljesen véletlenszerűek, ugyanis a vírusterjesztők pontosan tudták, hogy mikor, milyen domaint kell beregisztrálniuk, ha a károkozójukat frissíteni szeretnék.

Roman Hüssy svájci biztonsági kutató az elmúlt években kiemelt figyelmet fordított a Zeus és a SpyEye trójai programok terjedésének, viselkedésének elemzésére. A szakember az elmúlt napokban egy érdekességre lett figyelmes. "Észrevettem a kiberbűnözés az elmúlt néhány hét során nem regisztrált be új domain neveket a LICAT-hez. Ez egy kicsit zavart, ezért elhatároztam, hogy elemzésnek vetem alá a legújabb Zeus variánst, amely spamek révén terjed. Amikor elindítottam a trójait egy sandbox környezetben, akkor UDP-alapú hálózati adatforgalom generálódott. Az első gondolatom az volt, hogy ez nem is a Zeus, de később bebizonyosodott, hogy mégiscsak a hírhedt trójai van a háttérben" - mondta Hüssy.

Amikor a Zeus trójai legújabb variánsa megfertőz egy számítógépet, akkor egy előre meghatározott IP cím segítségével kapcsolódik egy szerverhez, amelyről egy címlistát tölt le, valamint frissíti a saját állományait, amennyiben ez szükséges. Hüssy szerint szerencsére a trójai e változata csak egy szerverrel képes kommunikálni, de a P2P rendszer révén mégsem olyan egyszerű a leállítása. Ezt mutatja az is, hogy a trójai az Egyesült Államokon kívül már Indiában és Olaszországban is egyre jelentősebb mértékben terjed. A kutató 24 óra alatt több mint százezer olyan egyedi IP-címet regisztrált, amelyekhez tartozó rendszerek vélhetőleg az új trójaival fertőződtek meg.

„Jól tudjuk, hogy a kiberbűnözés és a biztonsági kutatók között macska-egér harc folyik. Biztos vagyok benne, hogy nem ez volt az utolsó variánsa a Zeusnak, és a vírusírók tovább fogják alakítani a károkozójukat annak érdekében, hogy minél tovább tudjanak észrevétlenül tevékenykedni" - tette hozzá a szakember.

A hír megjelenését a Biztonságportál támogatta.