С начала февраля Trend Micro наблюдает рост активности ZeuS — хорошо известного троянца-банкера, который после утечки исходного кода не устает обрастать дополнительным функционалом. Новая модификация ZeuS, обнаруженная экспертами в начале июня, использует необычный для этого зловреда способ распространения — через сменные носители.

«Самоходный» ZeuS доставляется на компьютер жертвы под видом PDF-документа (например, счета-фактуры), который может быть прислан вложением в спаме или по неосторожности закачан из Интернета. Открытие этого файла в Adobe Reader инициирует запуск эксплойта, при этом пользователю выводится сообщение о некой ошибке. Пока жертва пытается как-то выйти из положения, на ее машину в фоновом режиме устанавливается ZeuS, который при запуске подключается к C&C-серверу и загружает обновление.

Для реализации функции самораспространения данный зловред отыскивает на зараженной машине съемный диск или флеш-накопитель и создает на нем скрытую папку со своей копией, а также ярлык в обеспечение быстрого доступа. По свидетельству Trend Micro, такой способ распространения ZeuS весьма необычен: как правило, для его засева злоумышленники прибегают к эксплойт-китам и/или к рассылке спам-сообщений с вредоносным вложением. Пожалуй, единственным отступлением от этих канонов была схема двухступенчатой загрузки с использованием файлового вируса Murofet. Появление «самоходной» версии, по мнению исследователей, может в значительной мере ускорить процесс распространения опасной инфекции.

Категории: Вредоносные программы