Trojan ZeuS wciąż groźny

Przeczytaj także: Trojan Zeus atakuje

Ostatnio wykryty duży botnet ZeuSa nazywa się Kneber. W lutym 2010 roku NetWitness, firma zajmująca się bezpieczeństwem korporacyjnym z siedzibą w Stanach Zjednoczonych, poinformowała o wykryciu komputerów zainfekowanych ZeuSem w 2 500 organizacjach w 196 państwach na całym świecie. W sumie wykryto 76 000 zainfekowanych komputerów. Wszystkie z nich były połączone z adresami internetowymi zarejestrowanymi na jedną osobę: Hilary Kneber. Oczywiście jest to jedynie pseudonim.

To był zaledwie wierzchołek góry lodowej. Odizolowane incydenty związane z wykryciem botnetu zwiększyły szacowane liczby przypadków tak zwanej infekcji ZeuSbotem do milionów.

Preferowane domeny

Każdy plik konfiguracyjny ZeuSa wskazuje adres internetowy, z którego korzysta trojan na komputerze ofiary. Jak tylko użytkownik odwiedzi stronę internetową zapisaną w pliku konfiguracyjnym i wprowadzi swoje dane, ZeuS przechwyci je i prześle szkodliwemu użytkownikowi.

Eksperci z Kaspersky Lab przeanalizowali około trzech tysięcy plików konfiguracyjnych ZeuSa i zauważyli schemat w adresach internetowych.
Adresy podzielono według domen, aby zidentyfikować najczęściej wykorzystywane rodzaje domen najwyższego poziomu: najczęściej atakowanymi domenami są naturalnie domeny międzynarodowe .org oraz .com, których właścicielami są głównie organizacje i duże firmy.

Jakie rodzaje witryn internetowych .com atakuje ZeuS w szczególności? Z których stron trojan próbuje przechwytywać informacje osobiste wprowadzane za pośrednictwem zainfekowanych komputerów? Wśród stron międzynarodowych można wyłonić czternastu liderów:
Zaledwie trzy z jedenastu najpopularniejszych zasobów szkodliwych użytkowników w domenie.com nie są bezpośrednio związane z bankami - są to komercyjne serwisy internetowe. Paypal.com łączy wirtualne pieniądze wykorzystywane w transakcjach online z pieniędzmi ze świata realnego w postaci kart kredytowych i debetowych. Podobnie jak PayPal, E-gold.com pozwala użytkownikom stworzyć konto z jednostkami wirtualnych pieniędzy, które mogą być wykorzystywane w Sieci do dokonywania płatności finansowych, i wiąże je z ceną złota i innych cennych metali. eBay.com to bardzo popularny internetowy serwis aukcyjny, który również wykorzystuje konta online, poprzez które użytkownicy mogą wystawić swoje przedmioty na aukcji. Pozostałe zasoby to strony internetowe banków transkontynentalnych oferujących usługi bankowości internetowej (możliwość zarządzania kontem bankowym online) oraz/lub inne.

Domeny krajowe najczęściej wykorzystywane przez szkodliwych użytkowników są zarejestrowane przez Hiszpanię i Wielką Brytanię. Państw te przyciągają uwagę szkodliwych użytkowników, ponieważ posiadają najwięcej stron internetowych oferujących usługi zarządzania finansami online. Każde z tych państw posiada około 20 bankowych witryn internetowych odwiedzanych przez mniej więcej taką samą liczbę osób, podczas gdy w innych krajach działa zaledwie garstka tego typu stron internetowych zarejestrowanych w domenach krajowych.