Версия банковского трояна ZeuS/Zbot обзавелась новым, довольно нетипичным для троянов способом влияния: теперь он осуществляет заражение исполняемых файлов.
По словам специалистов компании Symantec, которые изучали свойства нового варианта «Зевса», при проникновении в систему характерным для троянских программ способом (традиционно ZeuS распространяется при помощи спама), вредоносная программа делает попытки обнаружения в неких определённых местах исполняемых файлов. В искомые файлы троян добавляет код размером 512 байт, а также совершает переписку точки входа таким образом, что во время выполнения зараженного файла сначала отрабатывается внедрённый код.
Стоит отметить, что подобные манеры свойственны классическим вирусам, что, в свою очередь, обеспечивало их бесконтрольное размножение. Примитивность кода-паразита «Зевса» подтверждается всецелой направленности вредоноса на Интернет, при этом для классических вирусов это было только мечтой.
Когда запускается зараженный трояном файл, совершается загрузка определенного вредоносного файла из Интернета (адрес прописали в теле паразита), позже происходит запуск файла, который делает «чёрное дело», и только затем происходит выполнение «родного» кода изначального файла. Представители Symantec не говорят о среде распространения и нацеленности нового ZeuS.
По-видимому, предназначение новой функции заключается в том, чтобы троянца было сложнее удалить с зараженной машины. Функцию нельзя назвать полноценным обеспечением размножения, которая свойственна вирусам, ее можно расценивать как функцию возрождения.
По мнению специалиста компании Symantec Такаёши Накаяма, в случае удаления антивирусными продуктами основного компонента трояна, код все равно останется в зараженном файле, который позволит трояну загружать свои обновления и при этом заражать машину в очередной раз.
Стоит отметить, что такого рода схема будет функционировать только в том случае, когда сигнатурные базы антивируса имеют данные о главном компоненте трояна, однако отсутствуют записи о коде-паразите.
Специалисты Symantec говорят о том, что ранние версии троянов уже обладали похожими свойствами, хотя это и было редко. Но следует брать во внимание, что ZeuS находиться в постоянном процессе совершенствования, при этом «обрастает» новой функциональностью. Возможно, что данный рудимент в будущем вырастет в что-то более значимое, при этом ZeuS превратится из стерильного трояна в сильного плодовитого червя.
По мнению старшего вирусного аналитика «Лаборатории Касперского» Сергея Голованова, возможно это был «пробный шар». Поскольку наличие элементарного механизма заражения, отсутствие каких-либо механизмов защиты, а также выборочность при заражении файлов свидетельствует о низкой квалификации разработчика данного вирусного прототипа. Но, в свою очередь, это не снижает его потенциальную опасность, и если в дальнейшем он будет развиваться, то может еще не один раз попасть в вирусные «хроники Интернета».
Опасность заключается в возможности превращения ZeuS/Zbot в полноценную вирусную программу, сообщает webplanet.ru.
По словам эксперта «Лаборатории Касперского», угрозой является то, что одна из самых передовых и наиболее распространенных вредоносных программ, разработанных для совершения краж персональных данных, сможет распространиться и привести к эпидемии. Кроме того, не стоит забывать о скорости реакции на такого рода инциденты. Так, детектирование трояна занимает несколько секунд, однако детектирование вируса может занять несколько недель. Такая продолжительность жизни вируса может привести к эпидемии и поставить под удар весь Инернет.
Обновление антивирусных баз уже прошло и в Symantec, и в «Лаборатории Касперского», так в результате чего был добавлен компонент, который позволяет обнаружить и излечить зараженный «Зевсом» файл. Код-паразит распознается продуктами данных компаний как версия Trojan.Zbot! inf и Trojan.Win32.ZbotPatched.a соответственно.
