Троян ZeuS продолжает обходить защиту антивирусных компаний
Несмотря на аресты нескольких десятков подозреваемых в хищениях денег из банков Великобритании (около $9.6 млн) и США (около $3 млн), недавно появились новые варианты вируса ZeuS, что говорит о том, что истинные создатели этого вируса и организаторы хищений еще на свободе.
Новые варианты вируса позволяют избежать определения большинством эвристических анализаторов антивирусов, а также защищают сайты, с которых поступают управляющие команды, от перехвата сотрудниками компьютерной безопасности. По утверждению Рика Фергинсона (Rik Ferguson), консультанта безопасности компании Trend Micro, новая версия вируса в стремлении обмануть работу компьютерных систем безопасности переняла тактику печально известного червя Conficker, сообщает The Register.
Так, новый ZeuS работает как "Licat-подобный" червь, заражая файлы *.dll, *.exe и *.html, после чего вирус (рабочее имя tspy_zbot.byz) выполняет массовый вызов API-функций, что позволяет ему маскировать собственные действия от антивирусного сканера и эвристических анализаторов, а свое тело расшифровывает лишь в оперативной памяти. Для своей работы вирус генерирует около 800 псевдослучайных адресов определенного формата, исходя из даты попадания на компьютер и времени суток, для обращения за дальнейшими командами, передачи украденной информации, а также получения новых вредоносных моделей.
Юлий Дизон (Julius Dizon), инженер-исследователь компании Trend Micro, отметил, что для правильной защиты от этой угрозы, обычные антивирусы не являются достаточными - лишь совершенствование методов обнаружения и активное блокирование веб-сайтов позволит защитить пользователей. Пока же антивирусные компании проводят дополнительный анализ работы вируса, чтобы определить способы эффективной борьбы с ним.
