Исследователи из многонациональной компании PricewaterhouseCoopers (PwC) обнаружили новый, плохо детектируемый вариант банкера ZeuS, который доставляется жертвам с помощью эксплойт-пака Neutrino.

По свидетельству Стивена Рэмеджа (Stephen Ramage), который привел краткое описание находки в блоге PwC, при успешном эксплойте на машину жертвы с форума sells-store[.]com загружается целевой исполняемый файл acez.exe. Проведенный на Malwr.com анализ показал, что данный зловред создает такие же мьютексы, как и ZeuS. В ходе тестирования он прописался на автозапуск, собрал идентификационные данные зараженной машины и попытался снять хуки с Windows-функций, которые исследователи мониторили с помощью Cuckoo Sandbox.

По состоянию на 8 июня вредоносный PE32, загружаемый в рамках данной Neutrino-кампании, плохо детектировался антивирусами списка Virus Total. Как обнаружил Рэмедж, домен, из которого осуществляются вредоносные загрузки, зарегистрирован совсем недавно, 1 июня; согласно WhoIs, его владельцем является китайская компания Wuxi Yilian LLC. Исследователь не преминул отметить, что этот регистрант ассоциируется также с рядом доменов, используемых в спам-рассылках и мошеннических схемах.

Командный сервер, к которому обращается банковский троянец, поднят в домене stat777-toolbarueries-google[.]com, также совсем новом и оформленном на имя Wuxi Yilian LLC. В популярной базе ZeuS Tracker этот домен в настоящее время не числится, хотя ранее служил для раздачи обновлений и агрегации данных, украденных этим зловредом. По свидетельству Abuse.ch (оператора ZeuS Tracker), этот C&C-домен был снят с обслуживания 26 мая; по всей видимости, его владелец возобновил регистрацию после этой даты. Данные WhoIs, приведенные в блоге PwC, это полностью подтверждают.

Рэмедж также опубликовал простейшие сигнатуры новоявленного ZeuS и его управляющего центра для систем обнаружения вторжений Snort и Suricata.

Для справки: на настоящий момент в базе ZeuS Tracker совокупно числится 733 C&C-сервера ZeuS, 287 из них активны.

Категории: Вредоносные программы