RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→29 сен 2009→Zbot собирает налоги
Zbot собирает налоги
Последние три недели наблюдается мощная спам-кампания, нацеленная на распространение троянцев семейства Zbot. По имеющимся оценкам, эти вредоносные сообщения, написанные от имени Налоговой службы США, составляют около 10% от общего объема спама в интернете.
Мишенью злоумышленников являются американцы-держатели зарубежных счетов, которые должны подать налоговую декларацию до 23 сентября. Поддельные письма снабжены заголовком «Notice of Underreported Income» («Вы занизили сумму доходов») и ссылкой, реже вложением — якобы для просмотра получателем поправок к налоговой декларации. На самом деле вместо документа указанный файл содержит один из вариантов Trojan-PSW.Win32.Zbot — программы, специализирующейся на краже конфиденциальной информации, которая позволяет ее операторам выкачивать с чужих счетов более миллиона долларов в сутки.
По данным компании M86 Security, вредоносные послания рассылаются с ботнета Pushdo, а страницы с «декларацией» размещены на более чем 300 доменах, многие из которых привязаны к зоне .eu. Бинарный код троянца меняется несколько раз в сутки, что затрудняет его обнаружение. Если в первый день атаки Zbot идентифицировала половина антивирусов, то через пару дней он детектировался как угроза только шестью из них. Тот же результат наблюдался спустя еще 10 дней.
По оценке компании Damballa, Zbot лидирует в США среди прочих бот-агентов по количеству заражений (3,6 миллиона, или 1% компьютерного парка). Эксперты Trusteer, изучив [PDF 390Кб] его в «диком» виде, заключили, что пользовательские антивирусы детектируют его лишь в 23% случаев. А RSA в конце лета обнаружила, что троянец начал использовать IM-каналы для ускоренной доставки украденных реквизитов своим повелителям.
|
29 сен 2009, 19:55
Сегодня 29 число. Сегодня уже 29 сентября, данные с VirusTotal о "до сих пор не детектируемом" троянце за 22.09.2009 |
|
1 |
Re: Сегодня 29 число.
Stand corrected. Уорнер пишет (см.ссылку справа), что в первый день атаки (9 сентября) Zbot идентифицировался половиной антивирусов, а через пару дней - только шестью из 41, да и то нечетко (http://www.virustotal.com/analisis/cbd3a2017a7d4602f54c842f2b086b ed5c9da1abb4c142d1b5b1a785fcf8 aa23-1252712866). Тот же бледный результат Virus Total показывал 21-22 сентября (ссылка, приведенная в тексте). Последняя публикация на англ.яз. от 25 сент, к сожалению, на Virus Total не ссылается. 28 сент Уорнер обновил свой пост списком обнаруженных доменов (ссылка та же). Судя по указанному в нем количеству образцов спам-писем, атака идет на спад - срок подачи декларации ведь истек!
исправлено: Татьяна Никитина, 29 сен 2009, 21:58
|
29 сен 2009, 22:22
Также интересно, что на него нет сигнатурного детекта от Касперского (судя по вирустоталу), хотя на него такой детект некритичен (если без срыва работы эмуля, то Каспер его в недоверенные кинет), а в зависимости от версии Зеуса его может проактивкой и седьмая версия Каспера прибить |
|
0 |
Re: нет сигнатурного детекта от Касперского
Зайдите на Virus Total через блог Уорнера по гиперссылке. 11-12 сентября Касперский был одним из трех, определивших, что это Zbot. В том и дело, что троянец все время видоизменяется. Trend Micro в своем сообщении (см. ссылку) указывает сразу несколько модификаций.
30 сен 2009, 00:48
Полиморф? Ну да, с такими по идее всегда проблемы были. Но вроде он далеко не новый, название на слуху уже год наверное. |
|
0 |
Re: объявляем эпидемию?)
В понедельник американская CERT опубликовала официальное предупреждение - http://voices.washingtonpost.com/securityfix/2009/09/irs_scam_e-mail_could_be_costl.html. Брайан Крэбс из Washington Post пишет, что одна из последних жертв атаки Zbot потеряла треть из украденных $150 тыс., и приводит имя файла, загруженного по ссылке в письме, - sdra64.exe.
|
-1 |
|
0 |
Re: Re: Re: объявляем эпидемию?)
Думаю, поздновато, да и неактуально: все подданые Штатов с заокеанскими счетами уже получили свое, а мы перед IRS не отчитываемся - нет? :)
|
0 |
Re: Re: Re: Re: объявляем эпидемию?)
А если он сменит свою географию?)
Как это обычно в спаме и бывает, корректируешь самую малость текст, берёшь переводчик а-ля ПРОМТ и вуаля - начинаешь сбор налогов хоть по всему миру)
исправлено: SetupNick, 01 окт 2009, 20:28
|
1 |
Re: А если он сменит свою географию?)
Убедили, ставлю на контроль сроки подачи налоговых деклараций в других странах и, если появятся аналогичные послания на других языках, сразу посигналю :)
|
-1 |
Re: Re: А если он сменит свою географию?)
С одной стороны, хочется быть неправым, а с другой, приятно же в случае чего с надменным видом качать головой, мол " А я вам что говорил?" =))
|
30 сен 2009, 01:34
Не думаю, что полиморф. Скорее просто банальное обновление бинарника (у "раскрученных" хакеров это поставлено на поток - перекриптовка файла каждый день или даже два раза в день). |
|
30 сен 2009, 21:17
Ответить на этот вопрос не возьмусь - это нужно к автору обращаться ;), но не сильно важно сколько всего версий - пользуются только двумя последними (как правило). Троян хорошо криптуется и этим пользуются - перепаковывают и все... Иногда версии отличаются друг от друга достаточно сильно (имена файлов, функции), а иногда просто троян "чистится" - т.е чуть переписывается что бы меньше детекта на него было... Сегодня збот для многих хакеров заменил пинча (когда-то всеми горячо любимого). |
|
0 |
Re: сколько сейчас версий? - это нужно к автору обращаться
Если есть время, посчитайте - http://www.kaspersky.ru/viruswatchlite?search_virus=Zbot x=14 y=2
|
30 сен 2009, 22:01
Я имел в виду не это. Если каждый бинарник (криптованный) считать новой версией то далеко мы не уедем в своих исследованиях... . Я имел в виду другое: новой версией считается новая версия билдера от автора данного творения. Подробнее об этом нужно читать в разделах купли/продажи на хак. форумах. Берем один билд зеуса и криптуем его раз 20 полиморфным криптором. Выходит у нас появится 20 новых версий зеуса? Я так не считаю - борьба со всеми 20 файлами на ПК будет одинакова - функции у них будут одни и теже, имена файлов (дропаемых dll), тоже. Поэтому как определить, что вышла достаточно переработанная версия? Я это делаю по именам файлов - простая проверка того старые имена или нет, в зависимости от этого уже решаю - будет семпл долбиться или нет. Долбить одну и туже версию трояна неинтересно - т.к это получается не исследование трояна, а распаковка криптора - т.к все остальное - типично. |
|
30 сен 2009, 22:05
Татьяна Никитина, у Вас нет на руках dll из того билда, который по ссылке на ВТ (который каспер не детектит)? Если есть, то для наглядности могли бы вписать в статью линк на ВТ проверки этой dll - все было бы иначе. Около 30% будут детектировать эту библиотеку ;) |
|
0 |
Re:
Согласна, увлеклась найденными материалами и упустила политический момент :) Спасибо за мудрый совет, но dll я не отыскала, поэтому могу только удалить ссылку из своей публикации :(
|
02 окт 2009, 14:36
только Zbot - это не Trojan-PSW, а Trojan-Spy по классификации ЛК. |
|
0 |
Re: Trojan-PSW
Теперь в классификации присутствует единообразие, но я работала по статьям и взяла наименование из последнего годового отчета Касперского - http://www.securelist.com/ru/analysis/204007645/Kaspersky_Security_Bulletin_Ra zvitie_ugroz_v_2008_godu
|
0 |
|
0 |
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей