Новый вариант P2P Zeus содержит руткит

В Сети зафиксирована активность ботнета из устройств, зараженных версией банковского трояна Zeus. Особенностью этого варианта вредоносного ПО является его установка руткита, который предотвращает его распознавание антивирусными решениями, сообщает Кэн Чен (Kan Chen) из Fortinet.

По словам ИБ-эксперта, перед началом своей активности новый вредонос также сканирует компьютер в поисках уже установленной версии 0x38 трояна ZeuS. Затем он заменяет ее бинарными файлами версии 0X3B.

«Каждый бинарник P2P Zeus (ред. – название ботнета) извлекает номер версии из пакета обновления и сравнивает его с номером, который жестко указан в коде» для того, чтобы подтвердить удачную установку апдейта, подчеркивает Чен.

В Fortinet говорят, что единственным отличием новой версии P2P Zeus от предыдущих является то, что он размещает файл драйвера руткита в папку %SYSTEM32%\drivers. Более ранние варианты трояна устанавливали его вместе со всем функционалом.

Руткит значительным образом усложняет не только процесс обнаружения вредоноса, но и его удаление с зараженной системы.

Вполне вероятно, что инфицировать боты удалось при помощи вредоносной кампании с использованием поддельных писем от Sturbucks.

Напомним, ранее стало известно о том, что банковский троян ZeuS распространяется с подлинной подписью приложения.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s