RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→ 2 фев 2011→SpyEye расширил окоем
SpyEye расширил окоем
Блогер
опубликовано 2 фев 2011, 12:21 MSK
Сюжеты: Онлайн-банкинг, Описание вредоносных программ, ZeuS, SpyEye
Специалисты по сетевой безопасности зафиксировали появление нового SpyEye, обладающего дополнительными возможностями. Похоже, некоторые их этих усовершенствований были позаимствованы из арсенала «Зевса».
В середине января эксперты McAfee обнаружили в хакерском Зазеркалье рекламу некого билдера, который позиционируется как результат марьяжа SpyEye и ZeuS. Судя по перечню опций, этот кентавр, как и его «олимпийский» донор, умеет мгновенно связываться с хозяевами через Jabber-клиент и обходить аппаратные средства аутентификации с помощью специального VNC-модуля. Он также снабжен автоматизированными средствами обновления и распространения.
Исследователи из Trend Micro раздобыли образец модифицированного SpyEye, правда, несколько иной версии. Как оказалось, этот гибрид способен на лету подделывать веб-страницы, воспроизводимые в окне IE или Firefox, и проверять украденные номера кредиток подсчетом контрольной цифры (по алгоритму Луна). Для него также предусмотрена опция обхода системы безопасности Rapport компании Trusteer, к которой подключены многие банки. Правда, Trusteer, ознакомившись с методикой, избранной вирусописателями (снятие блокировки html-инъекций), заверила, что Rapport умеет отражать такие атаки.
Являются ли все эти нововведения подтверждением сделки, якобы состоявшейся между владельцем исходников SpyEye и автором ZeuS, неизвестно. Trend Micro обнаружила два активных сервера, поднятых на базе нового SpyEye. KSN детектирует эту версию как UDS:DangerousObject.Multi.Generic.
|
02 фев 2011, 17:41
Интересная статья Скажите пожалуйста, насколько высок коэффициент заражения данной вредоносной программой. |
|
2 |
Re: Интересная статья
На скриншотах панели управления, приведенных Trend Micro, вкладки с такой статистикой нет. Видно лишь, что ботнет совсем маленький, на шесть сотен с хвостиком. Полагаю, процент пробивки зависит от многих факторов, не только от навязчивости самого зловреда. Ведь SpyEye можно словить через Сеть (drive-by) или через спам-рассылку (социальный инжиниринг) - во всяком случае, раньше так было. Где-то мне также встречалось, что его подсаживают и партнерские загрузчики.
В целом прежние версии SpyEye показали себя весьма эффективными. В минувшем сентябре в поле зрения Trend Micro попал большой ботнет (на 18 тысяч), так его ботмейстер мог заарканивать по 1,5 тыс. машин в сутки - http://blog.trendmicro.com/the-spyeye-interface-part-1-cn-1/.
На что способна новая зверюшка, еще увидим. Опять же - в чьи руки попадет.
исправлено: Татьяна Никитина, 03 фев 2011, 04:08
|
04 фев 2011, 00:00
update Еще один ботнет засветился - http://blog.seculert.com/2011/01/fresh-new-hydra-head.html. Этот шеститысячник. Версия SpyEye та же, 1.3.05, она активно проходит обкатку в режиме "бета". |
|
2 |
|
08 фев 2011, 23:44
анализ кода В блоге RSA появились интересные результаты анализа кода нового SpyEye - http://blogs.rsa.com/rsafarl/new-spyeye-gains-zeus-features-a-detailed-analysis-of-spyeye-trojan-v1-3/. Они подтверждают, что это, действительно, "зевсово око". |
|
15 мар 2011, 01:48
--- Приятно слышать, что вендоры борятся с этим зловредом совместными усилиями, ведь главное конечно не конкуренция, а защита, без которой сейчас никак нельзя обойтись занимаясь интернет - сёрфингом, молодцы, вместе можно побороть любой вредоносный код. |
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».