Stary malware w nowej odsłonie

2 lipca, 2013

Kto powiedział, że nie można nauczyć starego oprogramowania nowych sztuczek? Niedawno pojawiły się informacje o swego rodzaju powrocie malware’u ZBOT. Wkrótce potem media przekazały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A teraz okazuje się, że istnieje całkiem nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.

„Niecodzienne zachowanie malware’u ZBOT potwierdza prognozy Trend Micro na 2013 rok, w których przewidziano, że stare zagrożenia pojawią się w nowych, udoskonalonych i skuteczniejszych postaciach” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.

Ta konkretna odmiana ZBOT-a ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Jeśli użytkownik otworzy plik za pomocą programu Adobe Reader, uruchomiona zastaje procedura, w wyniku której na ekranie wyświetla się okienko pop-up.

W tym momencie złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i zostaje uruchomiony. Istnieje kilka dość istotnych różnić w porównaniu do poprzedniej wersji tego malware’u.

Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: potrafi pobrać i uruchomić zaktualizowaną kopię samego siebie. Po drugie, może z łatwością rozprzestrzeniać się na inne systemy za pośrednictwem pamięci przenośnych, np. pendrive’ów. Dokonuje tego wyszukując dyski wymienne, a następnie tworząc w nich ukryty katalog z własną kopią oraz skrót odsyłający do ZBOT – a.

worm zbot przebieg infekcji big

Ten rodzaj rozprzestrzeniania jest dość nietypowy. ZBOT wędruje zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Tymczasem zdolność do samodzielnego rozpowszechniania jest w przypadku tego programu sporą niespodzianką. Może to oznaczać dalszy wzrost liczby systemów zarażonych tym malwarem.

Tego rodzaju przykłady pokazują, w jaki sposób zmienia się obszar oprogramowania crimeware. To konkretne zagrożenie zostało już opisane przez ekspertów Trend Micro w artykule zatytułowanym The Crimeware Evolution. Wykorzystywanie dysków wymiennych czy automatyczna aktualizacja do rozpowszechniania się nie jest nową ani innowacyjną cechą, ponieważ wiele złośliwych programów korzystało już z tych funkcji. W szczególności warto tu wspomnieć o Conficker/DOWNAD, który obu tych strategii używał bardzo skutecznie i który do dziś pozostaje dużym zagrożeniem. Mimo że ma już parę dobrych lat, został umieszczony na liście 10 najbardziej niebezpiecznych złośliwych programów w obu Amerykach i rejonie Morza Karaibskiego w 2012 roku.

Trend Micro chroni użytkowników poprzez wykrywanie WORM_ZBOT.GJ i blokowanie witryn powiązanych z tym zagrożeniem.

Więcej informacji dotyczących aktualnych zagrożeń znajduje się na stronie:

http://blog.trendmicro.com/trendlabs-security-intelligence/

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]