Kaspersky Lab: szkodliwe programy VIII 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy VII 2011

Nietypowa aktywność

Przyjrzyjmy się bliżej niektórym nowym szkodliwym programom oraz szkodliwym technologiom stosowanym w sierpniu przez cyberprzestępców.

Ice IX: bękart ZeuSa

Trojan ZeuS (Trojan-Spy.Win32.Zbot) od kilku lat stanowi najbardziej rozpowszechnione zagrożenie dla użytkowników usług bankowości online. Ze względu na liczbę incydentów z udziałem ZeuSa oraz spowodowane przez niego szkody, szkodnik ten może uchodzić za swoistego “króla” wśród szkodliwego oprogramowania. Cały przemysł cyberprzestępczy – głównie rosyjski – został stworzony wokół ZeuSa. Szkodnik ten jest wykorzystywany, bezpośrednio oraz pośrednio, przez dziesiątki grup cyberprzestępczych w ramach ich nielegalnych działań.

W zeszłym roku wyszły na jaw informacje o tym, jakoby twórca ZeuSa sprzedał swoje “dziecko” innemu twórcy wirusów – autorowi trojana SpyEye. To oznaczałoby, że zamiast dwóch konkurujących projektów, pojawiłby się jeden, łączący najlepsze technologie obu zagrożeń. To właśnie miało miejsce w przypadku nowych wersji SpyEye, które stanowią spadkobierców starego ZeuSa i są obecnie regularnie wykrywane.
Jednak mniej więcej w tym samym czasie, w którym miała miejsce ta „fuzja”, część kodu ZeuSa wyciekła i stała się dostępna dla każdego zainteresowanego. Od tej pory każdy, kto chciał stworzyć swój własny klon, ale nie miał ochoty za to płacić - twórca SpyEye’a sprzedaje swoje twory na rynku cyberprzestępczym za kilkanaście tysięcy dolarów - mógł to zrobić przy użyciu tego kodu źródłowego.

W sierpniu jeden z takich klonów stał się dość szeroko rozpowszechniony i przyciągnął uwagę ekspertów z dziedziny bezpieczeństwa IT. Warto zaznaczyć, że pojawił się znacznie wcześniej, wiosną 2011 r., jednak dopiero latem zyskał popularność wśród cyberprzestępców. Nowa modyfikacja, występująca pod nazwą Ice IX, jest sprzedawana za 600-1 800 dolarów. Podobnie jak w przypadku ZeuSa i SpyEye’a, również tym razem mamy do czynienia z “robotą” rosyjskojęzycznych cyberprzestępców. Jedną z najważniejszych innowacji w Ice IX jest zmieniony moduł sieciowy służący do kontroli botnetu, który pozwala cyberprzestępcom na wykorzystywanie legalnych usług hostingowych zamiast kosztownych odpornych na ataki serwerów wykorzystywanych w społeczności cyberprzestępczej. Zmiana ta ma na celu obniżenie kosztów hostingu ponoszonych przez właścicieli Ice IX.