Trojan ZeuS wciąż groźny

Przeczytaj także: Trojan Zeus atakuje

Nie oznacza to jednak, że w Hiszpanii i Wielkiej Brytanii znajduje się najwięcej cyberprzestępców. Powszechnie wiadomo, że oszuści internetowi wolą okradać obywateli i organizacje z innych krajów, ponieważ organy ścigania państwa, w którym miała miejsce kradzież, napotkają problemy prawne, gdy będą próbowały pociągnąć do odpowiedzialności szkodliwego użytkownika mieszkającego w innym kraju.

Miejsca problematyczne

Oprócz atakowanych adresów URL zebraliśmy również dane statystyczne dotyczące adresów internetowych, stanowiących źródła infekcji trojanem oraz drogi, jaką przebywają skradzione informacje. Po przeanalizowaniu danych stworzyliśmy mapę lokalizacji serwerów wykorzystywanych do szkodliwych celów.
Jak widać, adresy zainfekowanych stron są rozsiane po całym świecie. Częściej jednak szkodliwi użytkownicy wykorzystują serwery dostawców europejskich, północnoamerykańskich, rosyjskich i chińskich. Nietrudno zgadnąć, dlaczego - wszystkie te państwa mają jedną cechę wspólną: dobrze rozwinięte usługi hostingowe.

Często nie można ustalić lokalizacji określonego szkodliwego użytkownika, zwykle jednak nie jest to informacja krytyczna. Pojęcie "twórca wirusów" nie uwzględnia granic ani różnic narodowych. Może oznaczać osobę ze Szwecji, Chin lub Argentyny siedzącą w kawiarni gdzieś w Honolulu, która zarejestrowała stronę internetową w domenie.ru (na przykład microsoftwindowsxp.ru), w rzeczywistości utrzymywaną na serwerze włoskiego dostawcy.

Sposoby ochrony

Poniżej zostaną omówione najprostsze sposoby ochrony komputera przed trojanem ZeuS? Jak się okaże, nie różnią się od standardowych "zasad higieny internetowej".
Nigdy nie należy klikać nieznanego odsyłacza w wiadomościach, w których obce osoby namawiają nas do zrobienia czegoś. Odsyłacze prowadzące do szkodliwych programów są zamieszczane w wiadomościach wysyłanych za pośrednictwem poczty elektronicznej i komunikatorów internetowych. Szkodliwi użytkownicy opanowali podstawy wiedzy o psychice ludzkiej i potrafią wykorzystać słabość lub naiwność użytkowników, aby zwabić ich na swoje zainfekowane strony. Bardzo często spotykamy adresy internetowe, które przypominają adresy znanych, legalnych stron, w których zmieniono kilka liter, np. hxxp://www.vkontkate.ru. Ostatnio taktyka ta była dość często wykorzystywana. Bądź ostrożny - nie daj się złapać na takie sztuczki!

Wiadomości mogą zawierać neutralny tekst - taki, który mógłby zostać wysłany przez znajomego: "Cześć! Jak się udał wyjazd weekendowy? Musisz to zobaczyć! Sprawdź, nie uwierzysz: http://rss.lenta-news.ru/xxxxxx/vesti.exe". Zwróć uwagę na rozszerzenie pliku .exe na końcu - wskazuje ono na plik wykonywalny systemu Windows. Jednak odsyłacz nie zaprowadzi cię na stronę serwisu informacyjnego, jak można by sądzić na pierwszy rzut oka. Zamiast tego zostaniesz skierowany na zainfekowaną stronę. Trzeba jednak pamiętać, że pliki wykonywalne nie są jedynymi rodzajami plików, jakie stanowią zagrożenie - dokumenty w formacie .pdf (Adobe Reader), .ppt (Microsoft Power Point), .swf (Adobe Flash) oraz innych również mogą zawierać szkodliwy program. Dokumenty te posiadają dość złożoną strukturę, a podczas uruchamiania wymagają zaawansowanych obliczeń. Co więcej, programiści udostępnili mechanizm, poprzez który można dodawać kod programu (na przykład javascript). Dane wybrane przez szkodliwego użytkownika w takich dokumentach mogą spowodować błąd w programie wykorzystywanym do otwierania tych formatów, co pozwala na uruchomienie szkodliwego kodu na maszynie ofiary. Jeżeli na maszynie jest zainstalowany program antywirusowy z najnowszymi bazami szkodliwego oprogramowania, a użytkownik regularnie aktualizuje swoje oprogramowanie, posiada dość dobrą ochronę: istnieje niewielkie ryzyko, że jakieś program lub dokument zostanie zidentyfikowany jako szkodliwy i jego uruchomienie zostanie zablokowane; lub programiści zidentyfikują lukę i opracują łatę, która zostanie dostarczona na czas.