RSS-каналы
Уровень опасности: 1
Главная→Блог→Virus Watch→30 апр 2010→Кто из вас настоящий ботнет Zeus, поднимете руки!
Кто из вас настоящий ботнет Zeus, поднимете руки!
Эксперт «Лаборатории Касперского»
опубликовано 30 апр 2010, 20:03 MSK
Сюжеты: Ботнеты, ZeuS
Бот Zeus – один из самых плодовитых. Как в «дикой природе», так и в средствах массовой информации. В последнее время в прессе появилась масса сообщений о различных аспектах жизнедеятельности Zeus, в том числе новые сведения о нем и данные об отключении от интернета сервис-провайдера Troyak.
Конечно, это прекрасно. Далеко не все еще осознали, с чем мы имеем дело, и благодаря потоку информации о Zeus многие стали лучше понимать, насколько сложно устроен мир киберпреступности. К сожалению, во многих сообщениях повторяется одна и та же ошибка. В них говорится о «ботнете Zeus», что неправильно.
В реальности бот Zeus лежит в основе очень большого числа – вероятно, нескольких сотен – различных ботнетов, и все они контролируются разными киберпреступниками. Киберпреступники, стоящие за ботом Zeus, готовы продать его любому, а покупатели создают собственные ботнеты. Более того, существуют «боковые ветви» проекта Zeus, за которыми стоят другие киберпреступники.
Учитывая это, нельзя исключать ситуацию, когда компьютеры в сети большого предприятия заражены разными вариантами бота Zeus, подконтрольными разным киберпреступникам и, соответственно, входящими в разные ботнеты.
В попытке более ясно провести различие одна антивирусная компания использовала в СМИ название, специально придуманное для обозначения конкретного ботнета, основанного на боте Zeus. Как мне кажется, новация не сработала: она, пожалуй, не уменьшила неразбериху, а только увеличила ее.
К сожалению, я вовсе не уверен, что в краткосрочной перспективе принятие системы обозначения разных вариантов одного бота поможет неспециалистам разобраться в проблеме. Что же делать? Мне кажется, есть простое решение.
Если специалисты сходятся в том, что бот X контролируется одной киберпреступной группировкой, то, говоря об угрозе, следует говорить о ботнете X. В качестве примеров можно привести Conficker, Storm и Mebroot. Если же бот можно приобрести на подпольном рынке, то следует говорить о боте Y или ботнетах, созданных ботом Y. Примеры: Zeus, SpyEye и Poison Ivy.
|
30 апр 2010, 21:34
В первом предложении пропущено "из" после "Бот Zeus - один..." |
|
04 май 2010, 17:27
??? Мда. Имхо, смутная инициатива. Для конечного пользователя основная задача - избежать заражения. Но что же ему теперь изучать все разновидности ? Скорее напротив, ему следует изучать общие черты Зевса, выделяющие его как такового... И станет ли легче юзеру, когда он узнает, что его машину включили в ботсеть группировки х, а не у??? исправлено: Mind Gear, 04 май 2010, 17:37 |
|
11 май 2010, 12:32
to Mind Gear Речь идет о корректности терминологии. Автор правильно указывает о том, что частенько "ботнет ZeuS" используется не вполне уместно. Что касается, легче юзеру или нет от знания, какая группировка включила его машину в свой ботнет - этот вопрос, скорее, философский. С вашим посылом также можно акцентировать внимание на том, что в мире людям угрожает автомат Калашникова, отодвигая на задний план знание того, в чьих он руках. Важно знать, у кого в руках оружие? Или все равно? Какая разница, кто стрелял, вам от этого легче? |
|
1 |
Re: to Mind Gear
Даже если и знаешь тех, кто направил оружие - легче от этого не станет. Знать в чьих руках автомат - задача в первую очередь тех, кто должен от него защищать. С другой стороны, предупрежден - значит вооружен. Но если уж троян сделал свое дело (как автомат свое) - то будет поздно пить Боржоми, какую ценность будут представлять из себя данные о ботнете и группировке простому пользователю? А до заражения как это может помочь? Что изучать поведение 100 и более видов? Или просто соблюдать общие меры безопасности от ZeuS, чтобы не попасть к нему в лапы?
исправлено: Mind Gear, 11 май 2010, 18:44
|
12 май 2010, 20:42
Я больше чем уверен что обычный пользователь не будет даже читать,тем более предпринимать какие то меры защиты,т.к. почти у всех нет антивируса,а заметить какой то вредоносный процесс на компьютере он подавно не сможет,значит вся надежда обычного пользователя только на антивирусное ПО. |
|
0 |
Re: @ DenisL
Не стоит утверждать за всех =) Изучать вопросы безопасности ныне - это необходимость.
|
0 |
Re: Re: @ DenisL
но будут ли они их изучать? и изучить все просто не реально,каждый день появляется новая угроза,а предупреждение о ней только через 2-3 дня
|
13 май 2010, 12:37
На данный момент появился обзор алгоритма шифровки конфигурационного файла ZBot 2: http://blog.threatexpert.com/2010/05/config-decryptor-for-zeus-20.html |
18 май 2010, 17:05
Process "FreeCommander.exe", heap page: [0x039d0000 - 0x03a00000] |
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей