Trojan ZeuS wciąż groźny

Przeczytaj także: Trojan Zeus atakuje

ZeuS regularnie zmienia swój wygląd. Po zainfekowaniu systemu aktualizuje się przy użyciu różnych adresów internetowych. Dlatego jeżeli komputery użytkowników pobiorą nowe warianty tego trojana, antidotum na wcześniejsze warianty nie zadziała. W tym przypadku kluczowe znaczenie ma szybki czas reakcji, dlatego analitycy wirusów muszą być czujni dzień i noc. Jeżeli pojawi się nowy algorytm, a system nie posiada odpowiednich narzędzi, aby sobie z nim poradzić, analitycy muszą natychmiast zareagować, zapewniając odpowiednią ochronę przed takim wariantem.

Od momentu pojawienia się pierwszej wersji ZeuSa odnotowaliśmy ponad 40 000 wariantów tego trojana. Pod względem liczby wersji i liczby różnych adresów (często zwanych "centrami kontroli"), pod którymi przechowywane są dane szkodliwych użytkowników i z których wysyłane są polecenia maszynom zombie, ZeuS jest z pewnością jednym z najpopularniejszych istniejących szkodliwych programów.

Skala infekcji

Aby mieć ogólne pojęcie skali rozprzestrzenienia ZeuSa, przyjrzyjmy się kilku faktom dotyczącym liczby komputerów zainfekowanych tym trojanem, kontrolowanych przez szkodliwych użytkowników.

W 2009 roku w Stanach Zjednoczonych opublikowano raport dotyczący wykrycia 3,6 miliona komputerów zainfekowanych ZeuSem w tym kraju. Naturalnie, jest to liczba przybliżona - w rzeczywistości może być znacznie wyższa. Jednak oszacowanie rzeczywistej liczby zainfekowanych komputerów jest prawie niemożliwe, zwłaszcza że użytkownicy indywidualni często nie są świadomi, że ich komputery zostały przechwycone przez trojana.

Na początku 2009 roku wydarzyło się coś dziwnego: około 100 000 komputerów nagle przestało się uruchamiać - wszystkie mniej więcej w tym samym czasie. Stało się jasne, że komputery te zostały przejęte w celu stworzenia botnetu ZeuSa, a z centrum kontroli wysłano polecenie uszkodzenia systemu operacyjnego użytkownika. Analitycy próbowali dociec, dlaczego tak się stało, i zaproponowali dwa możliwe wyjaśnienia:

1. haker włamał się do centrum kontroli botnetu i wysłał polecenie do zainfekowanych komputerów, aby spowodować problemy "właścicielom" botnetu lub
2. właściciele botnetu sami wysłali to polecenie, po tym jak uzyskali potrzebne informacje. Drugie wyjaśnienie oznaczałoby, że szkodliwy użytkownik planował wykorzystać ten dodatkowy czas, jaki uzyskał, aby wyciągnąć środki z kont ofiar przy użyciu skradzionych danych, w czasie gdy ofiary próbowałyby przywrócić swoje systemy do działania.

Jednakże pierwszy scenariusz jest bardziej prawdopodobny. Dlaczego? Mniej więcej w tym czasie właściciel botneta ZeuSa pojawił się na jednym z forów hakerskich, prosząc o radę dotyczącą ochrony botneta przed nieautoryzowanym dostępem. Wyjaśnił, że stracił kontrolę nad swoją siecią złożoną z setek tysięcy zainfekowanych maszyn po tym, jak inny haker włamał się do centrum kontroli jego botnetu (tego rodzaju incydenty są powszechne w kręgach hakerów). Zaskakujące jest to, że cyberprzestępca nie wydawał się bardzo zaniepokojony utratą setki tysięcy komputerów znajdujących się pod jego kontrolą, ponieważ szybko stworzył dwa nowe botnety: jeden składał się z 30 000, a drugi - około 3 000 zainfekowanych maszyn.