Botnet Zeus vrača udarec

Matej Huš

15. jul 2014 ob 13:51:21

Eden izmed najbolj razširjenih botnetov, ki je kriminalcem prinesel več kot sto milijonov dolarjev koristi, vedno znova najde način, kako se vrniti. Microsoft mu je hud udarec zadal leta 2012, letos pa so razbili še eno njegovo izpeljanko. Toda po nekaj mesecih zatišja se koda iz Zeusa vrača.

Približno pet tednov po demontaži botneta Gameover Zeus nepridipravi vračajo udarec. Po elektronski pošti so se začela širiti sporočila - največkrat v obliki lažnih bančnih izpiskov - ki vključujejo zlobno kodo, ki poskuša okužiti prejemnikov računalnik. Ugotovili so, da približno 90 odstotkov uporabljene kode izvira iz prvotnega Zeusa; spremenjen je le dal za komunikacijo s krmilno-nadzornimi strežniki. Medtem ko je Zeus uporabljal P2P, sedanja inačica izkorišča fast flux, da se izogne odkritju. Kadar pa ta sistem odpove, vskoči že preizkušeni DGA (domain name generation algorithm), ki tvori imena domen po vgrajenem algoritmu in preizkuša, ali na naslovu katere poslušajo ustrezni strežniki. Tako lahko nepridipravi pridobijo nadzor nad botnetom, če uspešno registrirajo eno izmed teh domen.

Botnet uporablja isto kodo kakor Gameover Zeus. Ker je slednji še vedno nedelujoč, si očitno upravljavci prizadevajo obnoviti njegovo veličino s ponovno okužbo računalnikov z novo varianto. Okužb je v nekaj dneh že več kot tisoč. Spomnimo, da je Gameover Zeus nastal iz originalnega Zeusa, ki ga je bilo mogoče kupiti na črnem trgu. Ukrajinsko-ruska naveza ga je potem prilagodila svoji operaciji in v aktualni obliki ni bil na trgu. Ali gre v najnovejšem poizkusu za isto skupino, je še preuranjeno reči. Da so botneti tako zaželeni, je razlog preprost - s krajo finančnih podatkov in gesel namreč prinesejo veliko denarja.