Niezmordowany ZeuS oraz fałszywe programy archiwizujące na topie w październiku
Mimo niedawnych aresztowań członków gangów przestępczych powiązanych z botnetem ZeuS nadal pojawiają się nowe szkodliwe programy wspomagające jego rozprzestrzenianie.
ZeuS stał się jednym z najczęściej wykorzystywanych i najlepiej sprzedających się programów szpiegujących na czarnym rynku internetowym. Jego popularność wynika głównie z faktu, że trojany z tej rodziny można łatwo skonfigurować do kradzieży danych online.
Virus.Win32.Murofet, wykryty na początku października, generuje nazwy domen, które są później wykorzystywane do rozprzestrzeniania botnetu ZeuS. Odsyłacze do wykonywalnych plików ZeuSa są generowane przy użyciu aktualnej daty i czasu na komputerze ofiary. Wirus ten uzyskuje informacje o aktualnym roku, miesiącu, dniu i czasie systemu, generuje dwa podwójne słowa, dodaje jedną z kilku popularnych nazw domen, następnie na koniec ciągu dodaje "/forum" i całość wykorzystuje jako odsyłacz.
„Funkcjonalność tego szkodnika świadczy o dużej inwencji jego twórców oraz ich ambicji rozprzestrzeniania tego programu na całym świecie" - mówi Wiaczesław Zakorzewski, starszy analityk wirusów w Kaspersky Lab oraz autor raportu „Najpopularniejsze szkodliwe programy października 2010 wg Kaspersky Lab".
Innym wyraźnym trendem widocznym w październiku był utrzymujący się wzrost popularności fałszywych programów archiwizujących. Programy te zwykle podszywają się pod popularne darmowe oprogramowanie lub narzędzia umożliwiające obejście zabezpieczeń legalnego oprogramowania, które są zapewniane przez licencję. Po uruchomieniu fałszywego programu archiwizującego użytkownik jest proszony
o wysłanie SMS-a na numer o podwyższonej opłacie w celu uzyskania dostępu do zawartości archiwum. W większości przypadków po wysłaniu wiadomości użytkownik otrzymuje instrukcje, jak korzystać z trackera torrentowego oraz/lub odsyłacz do niego.
„Programy te działają według różnych scenariuszy, jednak wynik jest zawsze taki sam - ofiara płaci, a mimo to nie otrzymuje pliku. Ten rodzaj oszustwa jest stosunkowo nowy - został wykryty zaledwie kilka miesięcy temu - ale cieszy się sporym zainteresowaniem cyberprzestępców" - mówi Wiaczesław Zakorzewski. Od lipca 2010 roku firma Kaspersky Lab wykrywa każdego miesiąca ponad milion prób takich infekcji.
Eksperci z firmy Kaspersky Lab po raz kolejny przestrzegają użytkowników, aby byli ostrożniejsi podczas surfowania po Internecie i nie odwiedzali podejrzanie wyglądających zasobów. Na szczycie rankingu Top 20 znajduje się Trojan.JS.FakeUpdate.bp, skrypt z rodziny FakeUpdate, który powszechnie występuje na stronach pornograficznych. Gdy użytkownik uruchamia klip wideo, pojawia się okienko informujące, że do jego obejrzenia należy zainstalować nową wersję programu Media Player. Jednak odtwarzacz ten zawiera również trojana, który modyfikuje pliki ‘hosts'. Trojan ten kojarzy wiele popularnych stron z lokalnym adresem IP komputera i instaluje na zainfekowanej maszynie lokalny serwer sieciowy. W rezultacie, za każdym razem, gdy użytkownik próbuje odwiedzić jeden z tych zasobów, w przeglądarce pojawia się strona żądająca zapłaty za możliwość przeglądania treści przeznaczonych dla dorosłych.
Pełną wersję raportu można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab Polska pod adresem: http://www.viruslist.pl/analysis.html?newsid=631.
Informację oraz raport można wykorzystać dowolnie, z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.