ThreatMetrix Labs: Сделать троян вновь невидимым для антивирусов заняло у авторов программы пару часов.

Широкое распространение троянского приложения Zeus, а также его усиленная поддержка со стороны вирусописателей вызывает серьезные опасения. Такое заявление сделали эксперты из ThreatMetrix Labs, которые подробно рассмотрели последние модификации вируса в своем аналитическом отчете.<br />
<br />
Специалисты напомнили, что в настоящий момент Zeus не использует C&C-серверов, заменяя их командами, посылаемыми в сеть P2P через одного из ботов. При этом целостность всей системы сохраняется благодаря надежному шифрованию конфигурационных файлов. Более того, постоянное изменение криптографической защиты делает Zeus невидимым для существующих антивирусных систем.<br />
<br />
«Постоянное изменение методов его (Ред.- вируса) шифрования внушает тревогу. Фактически, эксперты ThreatMetrix зафиксировали не менее шести различных способов», - сообщили исследователи в своем докладе. По их словам, беспрерывное изменение векторов атак и криптографическая защита делает антивирусные компании практически бессильными.<br />
<br />
Отметим также, что специалисты предоставили примеры некоторых новых типов атак Zeus, обнаружить которые удалось после расшифровки одного из конфигурационных файлов (был проанализирован образец Zeus с MD5-хэшем 7ebe4e6f8e5ea5981f4b32cd9465e6a3).<br />
<br />
У данной модификации трояна имеется 988 функций, 561 из которых имелась в прошлом году, а еще 427 были добавленных после ноября 2011 года, что свидетельствует об очень быстром темпе появления разновидностей трояна.<br />
<br />
В настоящий момент конфигурационные файлы Zeus шифруется четырёхбайтовым ключом XOR, формируемым из таких элементов: (item length << 0x10) | (0xFFFF & item id) | (BinStorage Count << 8).<br />
<br />
Изменение предыдущего метода шифрования на данную вариацию заняло у авторов вируса «всего лишь несколько часов», однако это сделало новый вариант Zeus вновь невидим для антивирусов.