ZeuS trojano arklys

ZeuS, Zeus arba Zbot yra trojano virusas yra kenkėjiška programa užkrečianti Micrososft Windows operacines sistemas. Veikiant ZeuS torajano virusui jis sugeba atlikti kenkėjišką ir draustina veiklą. Jis naudojamas vogti banko vartotojo informacija registracijos metu ir iki kai registracijos duomenys atkeliauja į saugų serverį. Taip pat ZueS gali įrašyti kenkėjišką kriptografinį virusą (CryptoLocker angl.) ZueS plinta atsiunčiant programas ir sukčiavimo apsimetimo schemomis. Pirmą kartą buvo įidentifikuotas 2007 metų liepos mėnesį, kai buvo naudojamas pavogti informaciją iš JAV Transporto departamento. Didelis plėtimas vyko 2009 metų kovą. 2009 metų birželį draudimo bendrovės Prevx buvo viešinta informacija, kad buvo pažeista daugiau nei 74 000 FTP serverių vartotojų tokių tinklapių kaip Aemrica, NASA, MOnster.com, ABC, „Oracle“, Play.com, Cisco, „Amazon“ ir „BusinesWeek“.

Trojano viruso charakteristika

ZeuS trojano virusas buvo parašytas Visual C++ programa. Buvo prašytas visom Windows op versijoms. Dėl savo programos struktūros trojano virusas galėjo dirbti be draiverių įkėlimo programa. Trojanas gali pulti net būdamas svečių paskyros.

ZeuS virusas buvo sukurtas perimti informaciją iš kompromituojančio tinklapio. Jo tikslas perimti operacinės sistemos informaciją, kreditinės ir bankininkystės duomenys. Gali būti konfigūruotas perimti atitinkančios programinės įrangos informaciją. Tai daroma nurodant hakerio į tam nurodyta konfigūracijai failą. Virusas gali būti atnaujintas sekti kitą informacija jei to norima.

Informacija yra vogiama daugelių būdų. Trojanas iškart atakuoja Internet Explorer-į, FTP arba POP3 slaptažodžius, viską kas yra apsaugos būsenos (Protected Storage angl.) Efektyviausiai siekiama informacija iš tinklapių nurodytų konfigūraciniame dokumente.

Trojanas Zbot prisijungia prie C&C serverio ir siekia atlikti nurodytą funkciją. Tai leidžia kenkėjui valdyti trojaną: atsiusti ir įkelti dokumentus, išjungti arba perrašyti kompiuterio duomenys, ar net pašalinti operacinės sistemos dokumentus, be kurių kompiuteris nepasileis neperrašius operacinę sistemą.

Pavogus banko sistemos informaciją virusas pervedą mažą pinigų dalį pinigų į jau „užgrobtas“ saskaitas, kas daro sunkų jo sekimą.

Kai kurios versijos maskuojasi naudojanti „Kasperio Laboratorijos“ parašų. Po tyrimo buvo išsaikintas tarp parašų skirtumai ir jis buvo pripažintas negaliojančiu. Be Windows operacinės sistemos puolimo ZeuS yra dar 5 versijos atakuojančių kitas operacines sistemas. Tarp jų yra BlackBerry ir Android.

Plėtimas

ZeuS atakai buvo įrengtos 196 nuorodų spąstų ir socialiniai tinklai. Tai buvo pirmas atvejis istorijoje, kai kenkėjiska programa plito per socialinius tinklus. Per Facebook buvo išsiunčiamos kelios grafinės nuorodos, kurios nurodydavo į tinklapius su ZeuS.

ZeuS sekimas yra labai sudėtingas, nes jo modifikavimas ir veikimas leidžia jam keistis. Bendraujant kenkėjui su virusų yra sudaromas virtualus tinklas, per kurį yra galimybė keisti virusą tinklo ribose. Neseniai buvo išleista versija naudojanti P2P tipo tinklą, kas daro jo sekimą sudėtingesnį.

Šiuo metu ZeuS galima yra platinamas juodojoje rinkoje. Jis yra platinamas ir tobulinamas Rusijos forumuose. Yra galimybė nusipirkti hakerio parašyti arba specialia programa parašyti konfigūracijai failą ZueS sudarymui.

Radimas ir šalinimas

ZeuS trojano virusą yra labi sunku aptikti ir pašalinti, jei net antivirusinė yra atnaujinta iki naujausios versijos, nes virusas turi efektyvų slėpimosi mechanizmą. Tai yra laikoma viena iš pagrindinių priežasčių, lėmusį viruso plėtimą visame pasaulyje. Vien tik JAV ZeuS buvo infekuoti apie 3,6 milijonų asmeninių kompiuterių. Kompiuterių apsaugos ekspertai ragina žmones nespausti pašto gaunamų, tinklapiuose esančių ir interneto bendruomenių tinklapiuose esančių ant įtartinų nuorodų ir nuolatos naujinti antivirusinę programą.

Viena iš pagrindinių apsaugos priemone būdų yra sukurti naršykles, kuri siunčiamus vartotojo duomenys nesaugotų , o iškart trintų. Kadangi virusas naudoja asmeninius duomenys saugančius dokumentuose, vienintelis būdas neleisti virusui pagrobti duomenys iš jų šalinimas po duomenų naudojimo.

Valdymo centai

Kasperio laboratorijoje buvo sudaryta IP adresų statistikos buvo sudaryta serveriuose plėtimosi žemėlapis. Kiekviename ZeuS konfigūraciniame dokumente yra nurodomas IP adresas, kuriuos stebi trojanas ir iš kurių įveda vartotojo duomenys. Kai vartotojas pereina į konfigūraciniame dokumente nurodytą tinklapį virusas įveda savo duomenys ir persiunčia juos savo šeimininkui.

Darant tyrimą buvo stebimi daugiau nei 3000 IP adresų. Iš kurių buvo sudaryta statistika.

ZeuS nulaužtų IP adresų pasiskirstymas pagal šalis.

Kaip matosi iš 1 pav. dauguma IP adresų atakuojamų ZeuS yra tinklapių adresai, kurie baigiasi .com ir .org. Iš šių duomenų buvo sudarytas viruos paplitimas dažniausiai pasitaikančiose .com tinklapiuose. Daugiausiai tinklapiu baigaičių .com adresų kėsinančio ZeuS viruso

Tiktais iš esančių 14 *.com tinklapių 3 nėra tiesioginiai bankų tarpininkai. 3 yra komercines paslaugas teikiančios įmonės. Paypal.com teikia paslaugas susijusias su apmokėjimu naudojantis interneto valiuta remtata realiu per banko ir diabetinio kortelių pervedimu. E-gold.com sukuria atsiskaitymo įrašą su virtualios valiutos analogo atsiskaitymo vienetais, kuriuos vietoj realių pinigų galima naudoti atsikaitanti interneto paslaugoms. Ebay.com yra tarpininkė vykstant interneto aukcionams naudojant atsiskaitymo įrašais su įregistruotoms sąskaitoms aukciono apmokėjimo įvykdymui. KIti tinklapiai priklauso transkontinentinis bankams.

Literatūra

• http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)

• http://www.symantec.com/security_response/writeup.jsp?docid=2010-011016-3514-99

• http://ru.wikipedia.org/wiki/ZeuS

• http://www.xakep.ru/post/52892/default.asp

• http://hitech.newsru.com/article/30nov2011/fcbkzeus

• http://www.securelist.com/ru/analysis/208050628/Za_kem_okhotitsya_ZeuS