Génmódosított Zeus botnet

2011. szeptember 07. 12:50 - Csizmazia Darab István [Rambo]

Na jó, a cím dacára nem akarunk GMO-s kukoricákkal, búzákkal és Dolly fedőnevű bárányokkal vetélkedni, ennek ellenére a Zeus botnet új verziójában egy valóban érdekes és egyben kellemetlen változást észleltek az antivírus kutatók.

A napi temérdek újonnan megjelenő kártevő rengeteg munkát ad a víruslaboroknak, ezért sok láblógatást nem igazán látni ezeken a munkahelyeken. Ezzel szemben igen sok igyekezet fordítódik arra, hogy minél jobban lehessen automatizálni a nagyszámú egyszerűbb eseteket, az egyedi kézi visszafejtések tanulságaiból pedig lehetőleg minél több generikus felismerési minta születhessen, és - ide kapcsolódik a mai poszt is - ha valami aprócska hiba vagy extra lehetőség van a kártevő szerkezetében, azt bónuszként a magunk javára fordíthassuk.

Ahhoz, hogy az új botnet verzió változását jobban megérthessük, nagy vonalakban elég annyit tudni, hogy miután az antivírus cégek sikeresen visszafejtették a Zeus kártevő titkosító algoritmusát, már képesek voltak arra, hogy ezen információk birtokában és az úgynevezett GetFileAttributesExW API függvény segítségével lekérdezzék az adott bot nevét, pontos verzióját - és itt jön a lényeg - még egy pointer címet is, amellyel teljes visszafejtés nélkül is könnyen el lehetett távolítani a fertőzést. A gépek mentesítésekor ez véletlen felfedezés mondhatni nagyon jól jött.

Ám minden öröm és boldogság addig tart, amíg ez nem szúr szemet a kártevő fejlesztőknek, és sajnos pontosan ezt történt most. Eltávolították ugyanis ezt a bizonyos pointer címet, így aztán mostantól már nincs tovább magas labda, ezt az ajándék kiskaput most bezárták a vírusvédelmi szakemberek előtt. A Trendmicro elemzése szerint az új variáns látszólag célzottan az Egyesült Államokban, Spanyolországban, Brazíliában, Németországban, Belgiumban, Franciaországban, Olaszországban, Írországban és Hongkongban található pénzügyi cégeket irányozta meg.

Ilyen hasznos felismerések egyébként korábban is születtek már, gondoljunk csak a számítógépes állományokat titkosító és azok visszaállításáért pénzt zsaroló GPCode kártevőre. Az egyik 2008-as variáns esetében Kasperskyék rájöttek, hogy a már elkódolt állományok eredeti állományainak törlése egyszerű delete funkcióval történik, ezért minden „Undelete" segédprogram segíthet azokban az esetekben, ameddig még nem történt felülírás a lemezen. Természetesen idővel aztán itt is jött a következő, fejlettebb változat, amely Murphyvel szólva "gonoszságban és rombolásban újat tudott mutatni", de az biztos, hogy az ilyen szerencsés apró észrevételek - még ha csak ideiglenesen is lehet élni velük - hasznosak a víruskutatóknak.

Visszatérve Zeushoz, szóval ha a búlváros cím nem is igaz teljesen, de biztos jól hangzik ("New ZeuS bot could be antivirus-proof"), azért valóban megnehezítettek a dolgokat. Lehet, hogy a kártevőkészítők minderre teljesen maguktól jöttek rá, de az is lehet, hogy valahol valaki eldicsekedett a neten a trükkös kinderspiel mentesítő függvényhívással, és arra reagáltak. Az viszont több, mint valószínű, figyelik és követik az antivírus gyártók minden lépését, és nem félnek használni új ötleteiket munkáják folyamatos megnehezítésére.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr1003208448

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.