Бесплатно Экспресс-аудит сайта:

23.04.2014

Fortinet: Новый вариант P2P Zeus содержит руткит

В Сети зафиксирована активность ботнета из устройств, зараженных версией банковского трояна Zeus. Особенностью этого варианта вредоносного ПО является его установка руткита, который предотвращает его распознавание антивирусными решениями, сообщает Кэн Чен (Kan Chen) из Fortinet.

По словам ИБ-эксперта, перед началом своей активности новый вредонос также сканирует компьютер в поисках уже установленной версии 0x38 трояна ZeuS. Затем он заменяет ее бинарными файлами версии 0X3B.

«Каждый бинарник P2P Zeus (ред. – название ботнета) извлекает номер версии из пакета обновления и сравнивает его с номером, который жестко указан в коде» для того, чтобы подтвердить удачную установку апдейта, подчеркивает Чен.

В Fortinet говорят, что единственным отличием новой версии P2P Zeus от предыдущих является то, что он размещает файл драйвера руткита в папку %SYSTEM32%drivers. Более ранние варианты трояна устанавливали его вместе со всем функционалом.

Руткит значительным образом усложняет не только процесс обнаружения вредоноса, но и его удаление с зараженной системы.

Вполне вероятно, что инфицировать боты удалось при помощи вредоносной кампании с использованием поддельных писем от Sturbucks.

Напомним, ранее стало известно о том, что банковский троян ZeuS распространяется с подлинной подписью приложения.