Эксперты "Лаборатории Касперского" более детально изучили новые образцы вредоносного кода трояна, ставшего результатом объединения двух проектов ZeuS и SpyEye. Эксперты полагают, что разработчик SpyEye выжмет из ZeuS самое ценное и реализует в SpyEye. Но, на удивление специалистов, новый образец ZeuS пополнился новыми функциями, которые существенно отличаются от модификаций, создаваемых с помощью конструкторов ZeuS (ZeuS-builder-ов), что позволяет предположить существование поддержки и развития ZeuS. Несколько месяцев назад был обнаружен ZeuS, который имел новый функционал: он проверял, не выполняют ли его на тестовой платформе, например, внутри "песочницы" исследовательской компании. Троянец прекращал свое выполнение, если по некоторым признакам определял, что запущен в определенном окружении для анализа. Несколько недель назад появился другой ZeuS со странной для этого семейства активностью. Все последние варианты ZeuS имели один и тот же алгоритм расшифровки секции внутри своего кода, которая содержала начальные внутренние настройки троянца (ссылка, по которой должен загружаться файл конфигурации, ключ шифрования трафика и т.п.). Так вот, в новом необычном образце обнаружилось двойное шифрование. Сначала данные расшифровываются по стандартному алгоритму, но адрес к файлу конфигурации при этом получается фальшивый. И только вторая расшифровка дает реальную ссылку на файл конфигурации, в котором, собственно, указывается адрес центра управления ботнетом. Несколько дней назад был зафиксирован ZeuS, который также проверяет, не запущен ли он для анализа, например, в антивирусной компании. Функционал тот же, но уже с небольшими изменениями: добавился еще один критерий для обнаружения новой тестовой площадки. Этот вариант ZeuS к тому же имеет измененные по структуре части кода, которые оставались неизменными более полугода, а это тысячи и тысячи модификаций троянца. Изменение части кода указывает на то, что образец был создан с помощью новой перекомпилированной версии конструктора ZeuS. Специалисты "Лаборатории Касперского" отмечают, что обнаруженный функционал определения тестовых платформ уникален. Скорее всего, он был добавлен к основному функционалу ZeuS по заказу как специальная функция. Таким образом, очень похоже на то, что эта модификация ZeuS является свидетельством продолжения технической поддержки "важных" клиентов, использующих трояна в своей деятельности.
Подробнее