Лучшие статьи
"Почта России" выбирает оператора связи 22 апреля в Москве состоится конференция "QNX... "Синтерра" отдала в залог "Сбербанк... "Сумма Телеком" выходит на украинский рынок ШПД AMD анонсировал начало поставок 6-ядерных процессо... "ЭР-Телеком" получил лицензии на оказани... "Синтерра" предоставит услуги связи трем... "Бегун" расширил возможности "Конте... "МегаФон" обеспечил связью руководство С... "Вимм-Биль-Данн" контролирует потоки эле... Acer Liquid на базе Android вышел на российский рынок Check Point увеличила выручку в 2009 г. на 14% Alro доверила IBS сопровождение корпоративной ИС н... "Роснано" и "Элекард" создадут... "Степ Лоджик" открыла филиал в Казахстане "Лаборатория Касперского" будет защищать... "Ростехнологии" и Alcatel-Lucent создаду... "Код Безопасности" представила новый про... "ВымпелКом" обеспечил телефонизацию сери... "ВолгаТелеком" открыла виртуальный музей связи
Ботнет «Зевс» теряет силу, но научился полностью управлять зараженным компьютером.
Роман Хюссе (эксперт по безопасности из Швейцарии) в своем отчете отметил, что последнее время наблюдает снижение активности и количества центров, контролирующих ботнет ZeuS. Г-н Хюссе полагает, что это связанно с недавни отключением такого провайдера как Troyak-as.
Количественное соотношение контроль-центров этого ботнета сократилось до 181(было 249) в течение первой декады марта. В второй декаде клоичество контролирующих центров уменьшилось до 104. Таким образом, активность самого ботнета спала.
Из анализа выпавших центров ботнета, наблюдатели пришли к выводу, что большинство контролирующих центров пользовались провайдером TROYAK-AS(AS50215), которые, как известно, не отключали от сети недобросовестных клиентов. Таким образом, как было сказано выше, во второй декаде марта более 140 тысяч машин, на которых была установлена клиентская часть ZeuS, перестали быть активными. Хюссе отмечает, что один ZeuS ботнет включает в себя от 20 до 50 тысяч ботов.
На данный момент эксперты сходятся во мнении, что злоумышленникам уже не удасться восстановить контроль над своими ботами, т.к. большинство, полагаясь на надежность провайдера не делали резервные копии своих управляющих серверов.
С другой стороны Д. Данчев(независимый эксперт ИБ) полагает что успехом это назвать крайне сложно, т.к. с финансовой точки зрения злоумышленникам гораздо проще организовать новый ботнет, чем восстановить контроль над старым и отключение провайдера наносит кратковременные убытки владельцам ботнета.
Как известно, ряды ZeuS-ботов пополняются за счет спам-рассылки, содержащей ссылки на вирусы, но под данным компании Deteque, спам, имеющий отношение к Zeus перестал рассылаться неожиданным образом 27 февраля. Пока эксперты затрядняются назвать причины такого поведения хакеров. В то же время стали известны новые подробности, касающиеся административной части этого ботнета. В данный момент авторы вируса смогли разработать ряд расширений, благодаря которых злоумышленник получает эффект полного присутствия на зараженной машине используя встроенный VNC сервер на машине зараженного. Оператор ботнета может с легкостью обойти любые способы как программной, так и аппаратной авторизации и аутентификации и получить полный контроль над зараженной машиной.
Модуль маскировки тоже претерпел ряд изменений. Встроенный модуль работает с Firefox и позволяет операторы красть финансовую информацию, персональные идентификаторы и данные, которые пользователь вводит в формы, посредством этого веб-браузера. При этом вся эта информация отсылается злоумышленнику в режиме реального времени через джаббер протокол. Так же расширился и список машин, подверженных атаке. Теперь это не только Windows XP, но и Vista, и Windows 7.
По имеющейся инсайдерской информации, на данный момент проводится бета-тестирование новой версии трояна, которая позволит внедрять в браузеры произвольный код, позволяя злоумышленникам вводить дополнительные формы на сайтах, таким образом получать от невнимательных пользователей любую необходимую им информацию. Текущая версия вируса в данный момент позволяет делать такое только под управлением ИЕ.
Как полагают эксперты, основным нововведением в новой версии вируса станет полиморфное шифрование. Таким образом троян сможет менять свою структуру при каждом заражении машины, что значительно усложняет детектирование его антивирусными системами.
