Во-первых хочется предупредить хабрасообщество о новой волне этого зловреда, т.к. он очень неприятный и используется сейчас для кражи средств со счетов организаций через системы банк-клиент. Антивирусами не обнаруживается, работает даже с ограниченными учетными записями. Даже смотреть выписки в конце дня может оказаться неэффективным, т.к. при внедрении он подменяет результаты выдачи.
Началось все с того, что в нескольких известных нам компаниях увели средства со счетов, а после чего в одном из филиалов нашей компании обнаружился этот зловред, хорошо, что банк, уже наученный недавними событиями, оперативно заблокировал счета.
От местного администратора получена следующая информация- антивирусы могут выловить лишь некоторые подгружаемые им модули, но после казалось бы полного излечения они подкачиваются в систему вновь, т.е. сам зловред не обнаруживается.
Пока единственные признаки, которые определили, это что в ряде случаев на зараженной машине, если поставить отображение скрытых файлов, то они все равно не отображаются, и если раздача IP идет по DHCP то зараженные компьютеры могут кривые IP себе брать, не из выделенного им диапазона.
Как будет выяснена еще информация, отпишу тут.
Ну а теперь вопрос, кто в последнее время с этим зловредом сталкивался, как обнаружили, как боролись?
upd:
Словленный вирус может определять Касперский и AVZ с последними базами, но каждый свою часть, полному излечению помогло сканирование с Kaspersky Rescue Disk 10, дальше выдергивался сетевой шнур, и уже из винды прогонялся AVZ, который добивал остатки. Просто определить наличие троя сложно, на разных компьютерах он пихал себя в разные места, единого точного способа определить наличия заразы так и не нашли.
Даже смотреть выписки в конце дня может оказаться неэффективным, т.к. при внедрении он подменяет результаты выдачи.
Таким образом утверждается, что вирь умеет парсить выписки системы банк-клиент, скрывая свои операции, но оставляя клиентские и подбивая баланс? Иначе отсутствие клиентских операций в подмененной форме будет лишним поводом связаться с СБ банка.
Вывод — узкоспециализированный вирь, заточенный под клиентов данного банка, нет?
Нет, он действительно заточен, но под несколько банков. От Юникредит банка получил информацию, что зафиксированы случаи кражи, причем кража идет прямо с зараженной машины, используются дыры в JVM, создается мошенническое платежное поручение, при этом оно не отображалось на зараженной машине ни в каких списках и балансы тоже выводились, как будто его не было. Для информации- последняя попытка списания была с другого банка, так что явно они под несколько банков работают.
сорцы зевса в паблике, кто угодно может подогнать функционал и криптануть, то что часть файлов дроппера палится говорит лишь о дилетанстве модификаторов. Антивирусы вабще можно выкинуть почти все, помогут только от не целенаправленных и массовых атак, а так только проц и память жрет.
The Zeus Trojan infects computers in one of two ways: infected email attachments, and infected computer downloads. Particularly nasty with the Zeus Trojan is that deployments of the malware infect otherwise legitimate sites as one means of delivery to targeted computers.
www.tech-faq.com/the-zeus-virus.html
С вложениями понятно, а загрузки с зараженных сайтов могут использовать различные уязвимости ОС и ПО. Что в твоем случае ХЗ
В моем случае уже известно что, один из сотрудников притащил. Способ борьбы нашли в принципе, в шапке отписал. Но эта зараза постоянно видоизменяется и модули подкачивает, так что расслабляться пока рано.
Нет, червивый ноут подключен в корпоративную сеть. Видимо, вирь нашел какие-то известные ему дыры, т.к. быстро распространился на несколько компьютеров в сети.
В твоем профиле стоит:
BTCSec.com — это русскоязычный информационный ресурс о сети Bitcoin
Может твой Zeus это продолжение этото банкета?
Bitcoin и вредоносные программы
Этим летом система электронных денег Bitcoin оказалась в центре внимания и пользователей, и преступников. Система генерации «монет», основанная на использовании вычислительных мощностей компьютеров, стала еще одним способом для нелегального заработка, причем способ этот отличается сверханонимностью. Количество генерируемых «монет» зависит от мощности вашего компьютера. Чем больше компьютеров, к которым вы имеете доступ, тем больше ваш потенциальный заработок. Достаточно быстро пройдя стадию атак на владельцев биткойн-кошельков с целью их кражи, киберпреступники переключились на уже традиционное для них использование ботнетов.
Еще в июне мы обнаружили первый троянец Trojan.NSIS.Miner.a, который скрытно от пользователя зараженного компьютера генерировал биткойны. Этот инцидент стал началом нашего сотрудничества с рядом крупных биткойн-пулов (серверов, которые хранят информацию об участниках сети и их аккаунтах), что позволило нам пресечь работу ряда аналогичных ботнетов. Начало противостояния между антивирусной индустрией и преступниками в этой новой области привело к тому, что стали появляться все новые изощренные виды биткойн-ботнетов.
Нет, BTCSec.com это скорее хобби и с основной работой никак не связан. На зараженных компьютерах точно не стояло никакого ПО, связанного с майнингом или вообще с Биткоином.
Средний
Средний
Средний
