Trojan ZeuS wciąż ulepszany

Przeczytaj także: Trojan w Android Markecie

Niedawno okazało się, że „design” ZeuSa został przekazany twórcy konkurencyjnego trojana o nazwie SpyEye. Ostatnio analitycy z Kaspersky Lab znaleźli w próbce SpyEye’a fragment ZeuSa, prawdopodobnie więc autor nowego szkodnika zaimplementuje wkrótce w swoim kodzie to, co najcenniejsze w ZeuSie, tworząc prawdziwe monstrum.

Eksperci ds. bezpieczeństwa obserwują stały strumień próbek ZeuSa i prawie wszystkie z nich to dobrze znane wersje tego szkodliwego programu. Jednak od czasu do czasu pojawiają się dość nietypowe modyfikacje i są powody, aby sądzić, że w pewnym zakresie ZeuS wciąż jest utrzymywany i rozwijany.

Dwa miesiące temu analitycy z Kaspersky Lab wykryli nową funkcję ZeuSa: trojan sprawdza, czy jest uruchamiany na platformie testowej, np. w specjalnym środowisku laboratorium antywirusowego. Uruchamianie trojana było wstrzymywane, jeżeli pojawiały się oznaki, że szkodnik działa w środowisku stworzonym do analizowania jego zachowania.
Z kolei kilka tygodni temu pojawił się inny wariant ZeuSa, który wykazywał nietypowe zachowanie jak na tę rodzinę. Wszystkie jego ostatnie odmiany miały ten sam algorytm dekodowania sekcji we własnym kodzie, która zawierała pierwotne ustawienia wewnętrzne trojana. Nowa, nietypowa próbka zawierała podwójne szyfrowanie. Najpierw dane były szyfrowane przy użyciu standardowego algorytmu, jednak adres w odsyłaczu do pliku konfiguracyjnego był fałszywy. Prawdziwy odsyłacz do pliku konfiguracyjnego, który zawierał adres centrum kontroli botnetu, został ujawniony dopiero po drugim deszyfrowaniu.

Na początku marca analitycy z Kaspersky Lab trafili na próbkę ZeuSa, która również sprawdza, czy jest analizowana przez, na przykład, firmy antywirusowe. Jej funkcjonalność jest niemal taka sama, są jednak drobne modyfikacje – dodano kolejne kryterium wykrywania nowej platformy testowej. W tym wariancie ZeuSa zmodyfikowana została również struktura fragmentów kodu, która przez ponad 6 miesięcy pozostawała niezmieniona i była wykorzystywana w tysiącach próbek trojanów.

Zmiany w kodzie pokazują, że próbka ta została stworzona przy użyciu nowej wersji pakietu do konstruowania ZeuSa. Funkcja umożliwiająca wykrywanie platformy testowej jest unikatowa i wygląda na to, że została dodana do standardowej funkcjonalności ZeuSa. To sugeruje, że dla wąskiego grona ostatnich klientów korzystających z usług cyberprzestępców, którzy stworzyli ZeuSa, wciąż świadczona jest pomoc techniczna.

„Powstaje pytanie, z czym właściwie mamy do czynienia: z agonią czy odrodzeniem się szkodnika?” - mówi Dmitrij Tarakanow, analityk zagrożeń z Kaspersky Lab. „Być może ZeuS będzie mniej rozpowszechniony, bardziej ekskluzywny, dostępny dla kilku wybrańców. Jak będzie w rzeczywistości, czas pokaże...”