Video: What is ZeuS Virus? (Oktober 2024)
Zeus bank Trojan er tilbage med ny kode og kapaciteter, sagde Trend Micro-forskere for nylig.
Efter praktisk talt ingen aktivitet i januar steg Zeus-varianter i begyndelsen af februar og fortsatte med at være aktive hver måned og toppede i midten af maj, skrev Jay Yaneza, medlem af Trend Micros tekniske supportteam, på bloggen om Trendlabs Security Intelligence. Den nyere variant opfører sig forskelligt, når den inficerer computeren, men den stjæler stadig loginoplysninger fra finansielle websteder og andre følsomme websteder.
Zeus var i det væsentlige stille det meste af sidste år og begyndelsen af dette år, efter at Microsoft og dets retshåndhævelsespartnere med succes fik beslaglagt flere Zeus-kommando-og-kontrol-servere i marts 2012. På det tidspunkt anerkendte Microsoft, at kampagnen mod Zeus ikke var en komplet nedtagningsindsats, fordi der var flere C & C-servere, der stadig fungerede. Alligevel forstyrrede Microsoft operationer og ødelagte nøglekomponenter i infrastrukturen for at gøre Zeus ikke så almindelig, som den plejede at være.
"Gamle trusler som ZBOT kan altid gøre et comeback, fordi cyberkriminelle drager fordel af disse, " sagde Yaneza.
Zeus er en informationstjælende trojan designet til at stjæle online login-legitimationsoplysninger til følsomme websteder fra brugere, såsom online bank- og e-mail-konti. Zeus stjæler også personligt identificerbare oplysninger. Tidligere varianter gemte stjålne data og konfigurationsfil i en Windows-systemmappe og ændrede værtsfilen, så brugerne ikke kunne få adgang til sikkerhedsrelaterede websteder. Konfigurationsfilen indeholder navnene på den finansielle institution, som malware ser efter i brugerens browsersession.
"Ondsindede aktører kan ændre listen over websteder, de vil overvåge på det berørte system, " sagde Yaneza.
Forskel mellem varianter
De nye varianter skaber to tilfældigt navngivne mapper i brugermappen, en til malware og en til krypterede data. De seneste Zeus-trojanere er "for det meste enten Citadel eller GameOver-varianter, " sagde Yaneza. Begge varianter sender DNS-forespørgsler til tilfældige domænenavne for at se efter kommando-og-kontrol-serveren. Den inficerede maskine modtager en liste over, hvilke steder der skal overvåges fra C & C-serveren.
"At gå i gang med stjålet bank og andre personlige oplysninger fra brugere er en lukrativ forretning på det underjordiske marked, " sagde Yaneza.
Brugere skal være forsigtige med at åbne e-mail-beskeder og klikke på links. De skal bogmærke betroede websteder, så de ikke ved en fejltagelse omdirigeres til ondsindede websteder, fordi de indtastede navnet i URL-adresselinjen. Computeren skal også holdes ajour med de seneste opdateringer til operativsystemet, almindelig software og sikkerhedsprodukter.
