Форум

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Форум » Новости в мире Хакинга » 64-битная версия банковского трояна Zeus


64-битная версия банковского трояна Zeus

Сообщений 1 страница 3 из 3

1

Чем больше людей переходят на 64-битные операционные системы, тем больше появляется 64-битных приложений, в том числе вредоносных. Специалист «Лаборатории Касперского» Дмитрий Тараканов давно отслеживает банковский троян Zeus. «Был лишь вопрос времени, когда появится 64-битный Zeus, но мы не ожидали увидеть его так скоро», — признается Дмитрий в блоге «ЛК».

Дело в том, что выпускать 64-битную версию не было особой нужды. Банковский троян работает в браузере, а люди до сих пор используют 32-битные браузеры даже на 64-битных системах, так что Zeus нормально справлялся со своей задачей. Например, 64-битной версией IE пользуются менее 0,01% аудитории.

Однако, обнаруженный образец 32/64-битного трояна Zeus, как выяснилось, попал в интернет не позднее июня 2013 года, а дата компиляции файла указана и вовсе 29 апреля 2013 г.

64-битный Zeus классифицирован в вирусной базе как Trojan-Spy.Win64.Zbot.a. В 64-битной версии браузера IE при заходе на сайт определенного банка он внедряет вредоносный код в HTML-страницу, собирая учетные данные пользователя и другую конфиденциальную информацию. Все это отправляется на удаленный сервер, контролируемый злоумышленниками.

Еще одна особенность 64-битного трояна — использование сети анонимайзеров Tor. Программа tor.exe вызывается не напрямую, а через процесс svchost.exe, куда внедряется код tor.exe.

В системе запускается прокси-сервер на порту 9050. Таким образом, если в настройках браузера указать прокси-сервер 127.0.0.1:9050, то весь трафик пойдет через Tor. Командный сервер этой версии Zeus находится на скрытом сервисе egzh3ktnywjwabxb.onion.

Более того, троян на зараженной машине поднимает скрытый сервис и генерирует для него уникальное доменное имя в сети Onion.

Код:
--HiddenServiceDir "%APPDATA%\tor\hidden_service" --HiddenServicePort "1080 127.0.0.1:" --HiddenServicePort "5900 127.0.0.1:"

Запущенный веб-сервер способен обслуживать пользователей. Зная имя хоста и порт, к зараженной машине может подключиться злоумышленник для удаленного управления компьютером по VNC.

• Source: securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_enhanced_ with_Tor

+2

2

Еще Зевс развивается что ли? Когда я раньше интересовался этой темой,на сколько я знаю Славик продал исходники и вроде как отошел от дел,и появился SpyEye,спай включал в себя лучшее от Зевса,и кстати если машина была заражена Зевсом,спай его убивал,по моему спай,гораздо лучше,в боевых условиях с целью наживы спай не удалось потестить,но так для себя для интереса юзал его-ВЕЩЬ!) Потом утекли исходники Carberp,банковский троян обошедший своих всех предшественников,в том числе Зевса и спая.
Спасибо Бро за интересные статьи,давно не читал новости на тему хака,аж ностальгия))

0

3

Кеха написал(а):

Спасибо Бро за интересные статьи,давно не читал новости на тему хака,аж ностальгия))

+1

0


Вы здесь » Форум » Новости в мире Хакинга » 64-битная версия банковского трояна Zeus