Niezmordowany ZeuS oraz fałszywe programy archiwizujące

Mimo niedawnych aresztowaÅ„ czÅ‚onków gangów przestÄ™pczych powiÄ…zanych z botnetem ZeuS nadal pojawiajÄ… siÄ™ nowe szkodliwe programy wspomagajÄ…ce jego rozprzestrzenianie. ZeuS staÅ‚ siÄ™ jednym z najczęściej wykorzystywanych i najlepiej sprzedajÄ…cych siÄ™ programów szpiegujÄ…cych na czarnym rynku internetowym. Jego popularność wynika gÅ‚ównie z faktu, że trojany z tej rodziny można Å‚atwo skonfigurować do kradzieży danych online.

Virus.Win32.Murofet, wykryty na poczÄ…tku października, generuje nazwy domen, które sÄ… później wykorzystywane do rozprzestrzeniania botnetu ZeuS. OdsyÅ‚acze do wykonywalnych plików ZeuSa sÄ… generowane przy użyciu aktualnej daty i czasu na komputerze ofiary. Wirus ten uzyskuje informacje o aktualnym roku, miesiÄ…cu, dniu i czasie systemu, generuje dwa podwójne sÅ‚owa, dodaje jednÄ… z kilku popularnych nazw domen, nastÄ™pnie na koniec ciÄ…gu dodaje “/forum” i caÅ‚ość wykorzystuje jako odsyÅ‚acz.

„Funkcjonalność tego szkodnika Å›wiadczy o dużej inwencji jego twórców oraz ich ambicji rozprzestrzeniania tego programu na caÅ‚ym Å›wiecie” – mówi WiaczesÅ‚aw Zakorzewski, starszy analityk wirusów w Kaspersky Lab oraz autor raportu „Najpopularniejsze szkodliwe programy października 2010 wg Kaspersky Lab”.

Innym wyraźnym trendem widocznym w październiku byÅ‚ utrzymujÄ…cy siÄ™ wzrost popularnoÅ›ci faÅ‚szywych programów archiwizujÄ…cych. Programy te zwykle podszywajÄ… siÄ™ pod popularne darmowe oprogramowanie lub narzÄ™dzia umożliwiajÄ…ce obejÅ›cie zabezpieczeÅ„ legalnego oprogramowania, które sÄ… zapewniane przez licencjÄ™. Po uruchomieniu faÅ‚szywego programu archiwizujÄ…cego użytkownik jest proszony
o wysÅ‚anie SMS-a na numer o podwyższonej opÅ‚acie w celu uzyskania dostÄ™pu do zawartoÅ›ci archiwum. W wiÄ™kszoÅ›ci przypadków po wysÅ‚aniu wiadomoÅ›ci użytkownik otrzymuje instrukcje, jak korzystać z trackera torrentowego oraz/lub odsyÅ‚acz do niego.

„Programy te dziaÅ‚ajÄ… wedÅ‚ug różnych scenariuszy, jednak wynik jest zawsze taki sam – ofiara pÅ‚aci, a mimo to nie otrzymuje pliku. Ten rodzaj oszustwa jest stosunkowo nowy – zostaÅ‚ wykryty zaledwie kilka miesiÄ™cy temu – ale cieszy siÄ™ sporym zainteresowaniem cyberprzestÄ™pców” – mówi WiaczesÅ‚aw Zakorzewski. Od lipca 2010 roku firma Kaspersky Lab wykrywa każdego miesiÄ…ca ponad milion prób takich infekcji.

Eksperci z firmy Kaspersky Lab po raz kolejny przestrzegajÄ… użytkowników, aby byli ostrożniejsi podczas surfowania po Internecie i nie odwiedzali podejrzanie wyglÄ…dajÄ…cych zasobów. Na szczycie rankingu Top 20 znajduje siÄ™ Trojan.JS.FakeUpdate.bp, skrypt z rodziny FakeUpdate, który powszechnie wystÄ™puje na stronach pornograficznych. Gdy użytkownik uruchamia klip wideo, pojawia siÄ™ okienko informujÄ…ce, że do jego obejrzenia należy zainstalować nowÄ… wersjÄ™ programu Media Player. Jednak odtwarzacz ten zawiera również trojana, który modyfikuje pliki ‘hosts’. Trojan ten kojarzy wiele popularnych stron z lokalnym adresem IP komputera i instaluje na zainfekowanej maszynie lokalny serwer sieciowy. W rezultacie, za każdym razem, gdy użytkownik próbuje odwiedzić jeden z tych zasobów,  w przeglÄ…darce pojawia siÄ™ strona żądajÄ…ca zapÅ‚aty za możliwość przeglÄ…dania treÅ›ci przeznaczonych dla dorosÅ‚ych.