Вредоносные программы ZeuS и SpyEye вступили в ожесточенную борьбу за ваши деньги. Об этом — в нашем эксклюзивном расследовании.
Когда сталкиваются два виртуозных вора, радоваться рано: это еще не означает, что мошенники выпустили своих жертв из поля зрения. Доказательством тому служит история двух троянов — ZeuS и SpyEye, специализирующихся на взломе банковских счетов и сборе данных кредитных карт. Несмотря на то что сегодня между этими вредителями идет непримиримый бой за мировое господство, в своей мошеннической деятельности они активны как никогда.
Соперничество среди троянов, когда конкурента буквально вышвыривают с зараженного ПК, позволяет заглянуть в мир разработчиков вирусов и показывает, как систематично они действуют при создании вредоносного ПО. Из этого отчета вы узнаете, как функционирует рынок подобных программ и что творят трояны на пораженных компьютерах. Чтобы вам не пришлось бессильно наблюдать за их бесчинствами, мы также приготовили пакет утилит, который защитит вас от вредоносного ПО или устранит его в случае атаки.
ZeuS: прародитель банковских троянов
Вредоносная программа под именем ZeuS (или ZBot) существует с 2007 года и функционирует как большинство ботнетов: все зараженные компьютеры получают команды от сервера Command&Control, то есть из центра управления. Туда трояны отправляют все украденные банковские данные, затем мошенник изменяет их в своих интересах и пересылает в банк, чтобы опустошить чужой счет. В то время как другие вредоносные программы, например Conficker, по своему принципу работы являются универсальными и помимо DDoS-атак способны распространять волны спама, ZeuS специализируется только на краже данных, с помощью которых жертву можно обчистить до копейки.
Причина успеха кроется в инновации разработчика: веб-инжекты для этого трояна, служащие для подмены данных, стали неким стандартом в отрасли, так что их берут на вооружение даже конкуренты. В них определено, что должен делать троян, когда пользователь открывает конкретный сайт. При вызове страницы банковского портала эта вредоносная программа «на лету» меняет код HTML, вставляет собственную форму для ввода данных и таким образом получает коды PIN и одноразовые пароли. Веб-инжекты разработаны для различных финансовых учреждений во многих странах. Подтасовываются формы на сайтах не только банков, но даже системы PayPal. Поэтому во избежание манипуляций с браузером на банковской странице не должно быть никаких уязвимостей. При этом домен, а также сертификат SSL будут совпадать. Зараженный компьютер дает пользователю ложную уверенность в безопасности, и человек теряет контроль над своим счетом, а в худших случаях и деньги.
Эксперты исходят из того, что за последние несколько лет ZeuS сумел украсть со счетов по всему миру более $70 млн. Однако кажущееся монопольное положение этого цифрового грабителя не могло долго оставаться незыблемым.
SpyEye: с «убийцей» для ZeuS в комплекте
В конце 2009 года на русскоязычных хакерских форумах появилась новая вредоносная программа под названием SpyEye, готовящая титану ZeuS, а также пользователям компьютеров новые проблемы. У этого трояна такой же принцип действия, как у ZeuS, и он тоже является специалистом по грабежу банковских счетов. Но SpyEye не захотел делить рынок c ZeuS, а наоборот, стал вытеснять его. Разработчики хорошо изучили своего старшего противника, проанализировали его ошибки и слабые места и сделали соответствующие выводы. Результатом стал почти идеальный троян, установивший новые стандарты и, таким образом, составивший мощную конкуренцию. В случае с ZeuS вы были еще хоть как-то защищены, если использовали для своих банковских операций браузер Firefox, ведь эта вредоносная программа была способна заражать лишь Internet Explorer и собирать коды PIN и одноразовые пароли, введенные только в нем. SpyEye с самого начала мог «подслушивать» браузер от Mozilla. В ответ его соперник прибавил в скорости, и теперь даже Firefox не дает защиты от захвата данных ZeuS.
При этом SpyEye нашел ахиллесову пяту ZeuS и использовал ее в своих интересах: разработчики последнего проделали в нем «черный ход», через который можно было как стереть троян, так и загрузить обновления для него. Разработчики SpyEye не упустили такой шанс и встроили в свой троян киллера для ZeuS, легко и просто устраняющего конкурента. Некоторые продукты производителей антивирусов удаляют этот троян аналогичным образом.
Хакерская кампания: пиар-акции SpyEye
Функция убийцы ZeuS привела в движение весь черный рынок. Он ведет себя почти так же, как и легальный: существуют схема лицензирования для защиты от пиратских копий, жесткая ценовая борьба и даже саботажи. Но в то время как остальные разработчики вредоносного ПО предпочитают держаться в тени, создатель SpyEye, известный под именем Harderman, ищет славы. Он размещает в Сети баннеры, рекламирующие его продукт, а на просторах Интернета легко встретить его интервью, не считая записей на форумах под его псевдонимом. Специалисты считают это пиар-акцией, призванной не только насторожить конкурентов, но и обмануть охотников за вирусами и прессу.
Так, американский журналист Брайан Кребс сообщил в своем блоге, что создатель ZeuS — Slavik — собирается отойти от дел и продать исходный код. А купить его должен не кто иной, как Harderman. Якобы он планирует интегрировать лучшие функции ZeuS в SpyEye и создать супертроян. Но эксперты считают, что эта операция не состоится. «SpyEye и ZeuS так и будут существовать параллельно», — заявляет Тильман Вернер, вирусный аналитик «Лаборатории Касперского». В начале 2011 года эксперты обнаружили сервер, предлагающий ZeuS в качестве службы. Уже состоялось более 150 инсталляций этого трояна. Таким образом, мошенники без специальных технических знаний способны воспользоваться всеми возможностями данной услуги. Это показатель того, что ZeuS не дремлет. Однако неизвестно, кто стоит у руля. «Мы сможем говорить об объединении лишь тогда, когда увидим образец, обладающий характеристиками обоих троянов. На данный момент его не существует», — сообщил Вернер.
Атака на сотовые телефоны и смартфоны
Денежные учреждения все сильнее привязывают свои услуги к мобильным телефонам. Пользователю больше не нужна бумага — сразу при переводе он получает одноразовый пароль по SMS на заранее указанное устройство. Банки называют такие номера транзакций mTAN или smsTAN. Эта система достаточно надежна, поскольку, чтобы получить данный номер, мошенникам помимо компьютера необходимо осуществлять еще и манипуляции с сотовым телефоном. Однако разработчики ZeuS настроились и на этот защитный механизм и создали версию трояна для системы Symbian. Вредоносное ПО вставляет на банковскую страницу дополнительное поле для ввода телефонного номера. Жертва вводит его, получает SMS со ссылкой на загрузку, через которую троян попадает на телефон и собирает одноразовые пароли. Поэтому ни в коем случае не устанавливайте утилиты для банкинга через ссылки в SMS.
Охотники за вирусами: по следам троянов
Заявление об отходе от дел разработчика ZeuS вполне может быть уткой, запущенной с целью увести самый популярный банковский троян с линии огня. ZeuS давно уже на мушке охотников за вирусами. Онлайновый проект ZeuS Tracker готовит этой программе большие неприятности, и, кажется, его работа будет достаточно эффективной.
Швейцарская служба abuse.ch специализируется на охоте за банковскими троянами ZeuS и SpyEye. Она находит центры связи, через которые осуществляется управление зараженными компьютерами. На сайте https://ZeuStracker.abuse.ch вы найдете карту мира, на которой в режиме реального времени отображены центры управления. Этот трекер на основе IP-адресов создает списки, используемые провайдерами для прерывания связи между центром и зараженным компьютером.
SpyEye опасен настолько, что для него существует собственный трекер. Но благодаря своей структуре этот троян более гибок и справляется с противниками быстрее, чем ZeuS. Плагин позволяет дополнить SpyEye таким образом, что тот начинает производить DDoS-атаки на трекер. Трояну ZeuS для этого требуется использование дополнительного вредоносного ПО, поскольку в нем самом отсутствует возможность расширения. Именно этим будет отличаться потенциальный преемник ZeuS — особо коварными дополнениями, например кеш-функцией. Оба этих трояна могут изменять банковский перевод во время сессии. Однако если жертва ZeuS зайдет на свою страницу позже, она увидит, что деньги были направлены другому лицу, и сможет связаться с банком. А вот SpyEye предусмотрел такой вариант и создает видимость того, что транзакция была совершена так, как положено. Поэтому при подозрениях пользователю следует зайти на свой банковский счет с другого компьютера и убедиться, что не было произведено никаких манипуляций.
Заражение: как защититься
Чаще всего жертвы подхватывают «заразу» по технологии Drive-by-Downloads (теневые загрузки) на инфицированных сайтах, а также на взломанных страницах и в блогах, где хакеры разместили свои трояны вместе с эксплоитами. Последние проверяют браузер на наличие уязвимостей в плагинах Flash, QuickTime и PDF, через которые ZeuS или SpyEye могут попасть на компьютер. Затем эти трояны прячутся в процессах Windows, дожидаясь там, пока пользователь выйдет в Интернет и откроет банковскую страницу. Вредоносное ПО изменяет ее, вставляя фальшивую форму для входа в систему, а также поля для ввода одноразового пароля.
Для обнаружения вредоносного ПО в случае заражения необходимо тщательно исследовать систему. Утилита Gmer (есть на нашем DVD) нападет на след ZeuS, SpyEye и их аналогов и уничтожит их. Несмотря на то что после заражения надежнее переустановить систему, можно избавиться от троянов и с помощью приложения.
Что нужно делать. Перед запуском программы необходимо выйти из Сети. Желательно также вынуть сетевой кабель и деактивировать беспроводное соединение. Кроме того, следует закрыть все программы и отключить брандмауэр. Теперь запустите Gmer. Пользователям версий Windows Vista и 7 следует открыть программу от имени администратора. Автоматически начнется первое сканирование. При появлении во всплывающем окне рекомендации провести полный анализ отклоните ее. Чтобы изгнать SpyEye и его «товарищей» со своего компьютера, выберите в утилите вкладку «Services». Кликните правой кнопкой мыши по соответствующему значку, и троян будет удален. Чтобы не оказаться в подобной ситуации, необходимо превентивно защитить компьютер. Для этого соблюдайте известные правила: используйте только последнюю версию браузера и обновляйте операционную систему и антивирусную защиту на основе анализа поведения ПО.
Надежный банкинг с помощью антилоггера
Утилита Zemana AntiLogger не позволит вредоносному ПО записать данные кредитной карты с клавиатуры или сделать скриншоты при вводе этой информации в веб-форму. Дополнительную безопасность обеспечит модуль SSL Logger Protection: хотя трафик HTML при банкинге защищается протоколом SSL, кодирование осуществляется лишь при передаче данных. Все больше троянов собирает информацию заранее — Zemana AntiLogger предотвращает это с помощью модуля Anti SSL Logger.
Статья взята с сайта iChip.ru
Когда сталкиваются два виртуозных вора, радоваться рано: это еще не означает, что мошенники выпустили своих жертв из поля зрения. Доказательством тому служит история двух троянов — ZeuS и SpyEye, специализирующихся на взломе банковских счетов и сборе данных кредитных карт. Несмотря на то что сегодня между этими вредителями идет непримиримый бой за мировое господство, в своей мошеннической деятельности они активны как никогда.
Соперничество среди троянов, когда конкурента буквально вышвыривают с зараженного ПК, позволяет заглянуть в мир разработчиков вирусов и показывает, как систематично они действуют при создании вредоносного ПО. Из этого отчета вы узнаете, как функционирует рынок подобных программ и что творят трояны на пораженных компьютерах. Чтобы вам не пришлось бессильно наблюдать за их бесчинствами, мы также приготовили пакет утилит, который защитит вас от вредоносного ПО или устранит его в случае атаки.
ZeuS: прародитель банковских троянов
Вредоносная программа под именем ZeuS (или ZBot) существует с 2007 года и функционирует как большинство ботнетов: все зараженные компьютеры получают команды от сервера Command&Control, то есть из центра управления. Туда трояны отправляют все украденные банковские данные, затем мошенник изменяет их в своих интересах и пересылает в банк, чтобы опустошить чужой счет. В то время как другие вредоносные программы, например Conficker, по своему принципу работы являются универсальными и помимо DDoS-атак способны распространять волны спама, ZeuS специализируется только на краже данных, с помощью которых жертву можно обчистить до копейки.
Причина успеха кроется в инновации разработчика: веб-инжекты для этого трояна, служащие для подмены данных, стали неким стандартом в отрасли, так что их берут на вооружение даже конкуренты. В них определено, что должен делать троян, когда пользователь открывает конкретный сайт. При вызове страницы банковского портала эта вредоносная программа «на лету» меняет код HTML, вставляет собственную форму для ввода данных и таким образом получает коды PIN и одноразовые пароли. Веб-инжекты разработаны для различных финансовых учреждений во многих странах. Подтасовываются формы на сайтах не только банков, но даже системы PayPal. Поэтому во избежание манипуляций с браузером на банковской странице не должно быть никаких уязвимостей. При этом домен, а также сертификат SSL будут совпадать. Зараженный компьютер дает пользователю ложную уверенность в безопасности, и человек теряет контроль над своим счетом, а в худших случаях и деньги.
Эксперты исходят из того, что за последние несколько лет ZeuS сумел украсть со счетов по всему миру более $70 млн. Однако кажущееся монопольное положение этого цифрового грабителя не могло долго оставаться незыблемым.
SpyEye: с «убийцей» для ZeuS в комплекте
В конце 2009 года на русскоязычных хакерских форумах появилась новая вредоносная программа под названием SpyEye, готовящая титану ZeuS, а также пользователям компьютеров новые проблемы. У этого трояна такой же принцип действия, как у ZeuS, и он тоже является специалистом по грабежу банковских счетов. Но SpyEye не захотел делить рынок c ZeuS, а наоборот, стал вытеснять его. Разработчики хорошо изучили своего старшего противника, проанализировали его ошибки и слабые места и сделали соответствующие выводы. Результатом стал почти идеальный троян, установивший новые стандарты и, таким образом, составивший мощную конкуренцию. В случае с ZeuS вы были еще хоть как-то защищены, если использовали для своих банковских операций браузер Firefox, ведь эта вредоносная программа была способна заражать лишь Internet Explorer и собирать коды PIN и одноразовые пароли, введенные только в нем. SpyEye с самого начала мог «подслушивать» браузер от Mozilla. В ответ его соперник прибавил в скорости, и теперь даже Firefox не дает защиты от захвата данных ZeuS.
При этом SpyEye нашел ахиллесову пяту ZeuS и использовал ее в своих интересах: разработчики последнего проделали в нем «черный ход», через который можно было как стереть троян, так и загрузить обновления для него. Разработчики SpyEye не упустили такой шанс и встроили в свой троян киллера для ZeuS, легко и просто устраняющего конкурента. Некоторые продукты производителей антивирусов удаляют этот троян аналогичным образом.
Хакерская кампания: пиар-акции SpyEye
Функция убийцы ZeuS привела в движение весь черный рынок. Он ведет себя почти так же, как и легальный: существуют схема лицензирования для защиты от пиратских копий, жесткая ценовая борьба и даже саботажи. Но в то время как остальные разработчики вредоносного ПО предпочитают держаться в тени, создатель SpyEye, известный под именем Harderman, ищет славы. Он размещает в Сети баннеры, рекламирующие его продукт, а на просторах Интернета легко встретить его интервью, не считая записей на форумах под его псевдонимом. Специалисты считают это пиар-акцией, призванной не только насторожить конкурентов, но и обмануть охотников за вирусами и прессу.
Так, американский журналист Брайан Кребс сообщил в своем блоге, что создатель ZeuS — Slavik — собирается отойти от дел и продать исходный код. А купить его должен не кто иной, как Harderman. Якобы он планирует интегрировать лучшие функции ZeuS в SpyEye и создать супертроян. Но эксперты считают, что эта операция не состоится. «SpyEye и ZeuS так и будут существовать параллельно», — заявляет Тильман Вернер, вирусный аналитик «Лаборатории Касперского». В начале 2011 года эксперты обнаружили сервер, предлагающий ZeuS в качестве службы. Уже состоялось более 150 инсталляций этого трояна. Таким образом, мошенники без специальных технических знаний способны воспользоваться всеми возможностями данной услуги. Это показатель того, что ZeuS не дремлет. Однако неизвестно, кто стоит у руля. «Мы сможем говорить об объединении лишь тогда, когда увидим образец, обладающий характеристиками обоих троянов. На данный момент его не существует», — сообщил Вернер.
Атака на сотовые телефоны и смартфоны
Денежные учреждения все сильнее привязывают свои услуги к мобильным телефонам. Пользователю больше не нужна бумага — сразу при переводе он получает одноразовый пароль по SMS на заранее указанное устройство. Банки называют такие номера транзакций mTAN или smsTAN. Эта система достаточно надежна, поскольку, чтобы получить данный номер, мошенникам помимо компьютера необходимо осуществлять еще и манипуляции с сотовым телефоном. Однако разработчики ZeuS настроились и на этот защитный механизм и создали версию трояна для системы Symbian. Вредоносное ПО вставляет на банковскую страницу дополнительное поле для ввода телефонного номера. Жертва вводит его, получает SMS со ссылкой на загрузку, через которую троян попадает на телефон и собирает одноразовые пароли. Поэтому ни в коем случае не устанавливайте утилиты для банкинга через ссылки в SMS.
Охотники за вирусами: по следам троянов
Заявление об отходе от дел разработчика ZeuS вполне может быть уткой, запущенной с целью увести самый популярный банковский троян с линии огня. ZeuS давно уже на мушке охотников за вирусами. Онлайновый проект ZeuS Tracker готовит этой программе большие неприятности, и, кажется, его работа будет достаточно эффективной.
Швейцарская служба abuse.ch специализируется на охоте за банковскими троянами ZeuS и SpyEye. Она находит центры связи, через которые осуществляется управление зараженными компьютерами. На сайте https://ZeuStracker.abuse.ch вы найдете карту мира, на которой в режиме реального времени отображены центры управления. Этот трекер на основе IP-адресов создает списки, используемые провайдерами для прерывания связи между центром и зараженным компьютером.
SpyEye опасен настолько, что для него существует собственный трекер. Но благодаря своей структуре этот троян более гибок и справляется с противниками быстрее, чем ZeuS. Плагин позволяет дополнить SpyEye таким образом, что тот начинает производить DDoS-атаки на трекер. Трояну ZeuS для этого требуется использование дополнительного вредоносного ПО, поскольку в нем самом отсутствует возможность расширения. Именно этим будет отличаться потенциальный преемник ZeuS — особо коварными дополнениями, например кеш-функцией. Оба этих трояна могут изменять банковский перевод во время сессии. Однако если жертва ZeuS зайдет на свою страницу позже, она увидит, что деньги были направлены другому лицу, и сможет связаться с банком. А вот SpyEye предусмотрел такой вариант и создает видимость того, что транзакция была совершена так, как положено. Поэтому при подозрениях пользователю следует зайти на свой банковский счет с другого компьютера и убедиться, что не было произведено никаких манипуляций.
Заражение: как защититься
Чаще всего жертвы подхватывают «заразу» по технологии Drive-by-Downloads (теневые загрузки) на инфицированных сайтах, а также на взломанных страницах и в блогах, где хакеры разместили свои трояны вместе с эксплоитами. Последние проверяют браузер на наличие уязвимостей в плагинах Flash, QuickTime и PDF, через которые ZeuS или SpyEye могут попасть на компьютер. Затем эти трояны прячутся в процессах Windows, дожидаясь там, пока пользователь выйдет в Интернет и откроет банковскую страницу. Вредоносное ПО изменяет ее, вставляя фальшивую форму для входа в систему, а также поля для ввода одноразового пароля.
Для обнаружения вредоносного ПО в случае заражения необходимо тщательно исследовать систему. Утилита Gmer (есть на нашем DVD) нападет на след ZeuS, SpyEye и их аналогов и уничтожит их. Несмотря на то что после заражения надежнее переустановить систему, можно избавиться от троянов и с помощью приложения.
Что нужно делать. Перед запуском программы необходимо выйти из Сети. Желательно также вынуть сетевой кабель и деактивировать беспроводное соединение. Кроме того, следует закрыть все программы и отключить брандмауэр. Теперь запустите Gmer. Пользователям версий Windows Vista и 7 следует открыть программу от имени администратора. Автоматически начнется первое сканирование. При появлении во всплывающем окне рекомендации провести полный анализ отклоните ее. Чтобы изгнать SpyEye и его «товарищей» со своего компьютера, выберите в утилите вкладку «Services». Кликните правой кнопкой мыши по соответствующему значку, и троян будет удален. Чтобы не оказаться в подобной ситуации, необходимо превентивно защитить компьютер. Для этого соблюдайте известные правила: используйте только последнюю версию браузера и обновляйте операционную систему и антивирусную защиту на основе анализа поведения ПО.
Надежный банкинг с помощью антилоггера
Утилита Zemana AntiLogger не позволит вредоносному ПО записать данные кредитной карты с клавиатуры или сделать скриншоты при вводе этой информации в веб-форму. Дополнительную безопасность обеспечит модуль SSL Logger Protection: хотя трафик HTML при банкинге защищается протоколом SSL, кодирование осуществляется лишь при передаче данных. Все больше троянов собирает информацию заранее — Zemana AntiLogger предотвращает это с помощью модуля Anti SSL Logger.
Статья взята с сайта iChip.ru
