Trojan-Spy.Win32.Zbot

Дата обнаружения 29/09/2015
Класс Trojan-Spy
Платформа Win32
Описание

Вредоносные программы этого семейства используются для кражи аутентификационных данных пользователя к различным сервисам, например, к сервисам онлайн-банкинга. Кроме того, такие вредоносные программы предоставляют злоумышленнику возможность удаленного управления зараженной машиной. Первые программы этого типа появились в 2006-2007 годах. Сейчас существует множество модификаций и обновлений Trojan-Spy.Win32.Zbot. В 2011 году произошла утечка открытого исходного кода. Для распространения Trojan-Spy.Win32.Zbot использовался эксплойт-пак BlackHole и ботнеты Cutwail и Pushdo.

Вредоносные программы этого семейства обладают богатым функционалом, таким как: перехват данных, подмена DNS, снятие скриншотов экрана, получение паролей из хранилища Windows, загрузка и выполнение файлов на компьютере пользователя, атака других компьютеров в сети Интернет.

Существует несколько распространенных модификаций вредоносных программ этого семейства, например:

  • ZeuS Citadel
    К особенностям ZeuS Citadel стоит отнести активную техническую поддержку клиентов и регулярные обновления до конца 2012 года на специализированном форуме, а также защиту от эмуляции и отладки, что затрудняет обнаружение и анализ программы, и использование алгоритма шифрования AES для генерации RC4 ключа.
  • KINS (другие названия: PowerZeus, ZeusVM)
    Эта вредоносная программа появилась в 2011 году. Через два года, в 2013 году, появилась новая версия. Программа использовалась для атаки банков Германии и Голландии.
    KINS использует стеганографию (скрытие вредоносного кода внутри чистого кода) для хранения параметров и виртуализацию, как метод защиты от анализа.
  • P2P Zeus (другие названия: Gameover, Murofet)
    Эта вредоносная программа была обнаружена в 2011 году. Сеть зараженных компьютеров достигала одного миллиона. Программа использовала механизм peer-to-peer для передачи данных на сервера злоумышленников, а также цифровую подпись для защиты данных. Также P2P Zeus использовался для распространения шифровальщика CryptoLocker.

География атак семейства Trojan-Spy.Win32.Zbot

География атак в период 24.07.2014 — 27.07.2015

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Россия 8,61
2 Италия 8,24
3 Германия 7,65
4 Индия 6,74
5 США 5,28
6 Вьетнам 3,19
7 Великобритания 2,76
8 Австрия 2,75
9 ОАЭ 2,66
10 Индонезия 2,49

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом