Исследователи обнаружили новый гибридный троянец, совмещающий элементы двух знаменитейших штаммов вредоносного ПО: ZeuS и Carberp. Нет ничего необычного для авторов зловредов в «заимствовании» кусков кода друг у друга, но и ZeuS, и Carberp некогда были исключительно приватными инструментами. Тем не менее исходные коды этих троянцев утекли, и теперь вирусописатели смешали их вместе в троянце, который исследователи назвали Zberp.

Исходный код ZeuS утек четыре года назад, и на тот момент исследователи волновались касательно ухода этого кода в массы, что могло привести к появлению множества вариантов троянца и волнам новых атак. Некоторые из этих опасений сбылись, так как авторы зловредов слепили мобильные версии ZeuS, и троянец продолжает оставаться основной проблемой по сей день.

Исходный код Carberp утек не так давно, его файлы появились на публике в июне 2013 года. Изначально троянец был приватным инструментом, используемым группой хакеров из России, и позже был продан внешним клиентам за $40 000. Как и ZeuS, Carberp способен различными методами скрываться от антималварных приложений, красть важную информацию с зараженных машин и загружать новые данные с серверов управления и контроля.

Троянец Zberp, идентифицированный командой Trusteer из IBM, сочетает некоторые функции от ZeuS и Carberp и оснащен кое-какими интересными возможностями по уклонению от защитного ПО. Zberp умеет записывать в реестр ключ, позволяющий поддерживать присутствие на зараженных машинах, и удалять этот ключ при каждом запуске, записывая его вновь при выключении системы. Эта функция разработана для того, чтобы избежать обнаружения защитными программами, которые проводят сканирование при запуске системы.

«Новый троянец Zberp, вариант троянца ZeuS VM, позволяет киберпреступникам собирать базовую информацию о зараженном компьютере, включая имя компьютера, IP и так далее. Он умеет делать снимки экрана и отправлять их злоумышленникам. Также он крадет данные, введенные в формы HTTP, SSL-сертификаты пользователя и даже учетные данные аккаунтов FTP и POP. Троянец Zberb включает в себя опциональную функцию, которая позволяет выполнять web-внедрения, динамические web-внедрения, атаки MITB/MITM и подключения VNC/RDP, — сказано в анализе Trusteer. — Включения исходного кода Carberp в троянце Zberp можно определить по наличию техники «зацепления», обычно используемой разработчиками зловредов для управления браузером, захвата клавиатурных последовательностей и кражи информации. Она также позволяет зловреду оставаться «невидимым», избегая обнаружения антивирусом и антималварными инструментами».

Zberp также применяет технику, которую используют некоторые новейшие образцы зловредов, поддерживая свою связь со своими серверами управления и контроля по SSL. Подобно технике удаления ключа реестра, использование SSL для связи предназначено для избегания вредоносным ПО обнаружения.

Категории: Вредоносные программы