22:04 27.07.2010 Zbot атакует | |
Специалисты из Лаборатории Касперского наткнулись на подозрительный PDF- файл и решили его исследовать. После распаковки был получен xml–файл с TIFF-изображением. Однако как выяснилось, выглядел он очень странно. Выяснилось, что xml–файл содержит в своей структуре эксплойт, который эксплуатирует уязвимость CVE-2010-0188 (переполнение буфера обмена). Экспертам это показалось странным, так как раньше подобного рода файлы почти не встречались, и они запросить статистику по срабатыванию данной уязвимости. Как видно из приведённого графика, активное распространение
зловредов, эксплуатирующих CVE-2010-0188, началось в конце июня. До
этого времени они практически не обнаруживались на компьютерах
пользователей. Можно сделать предположение, что у вирусописателей ушло
несколько месяцев на подгонку эксплойтов для новой дыры в продукте
Adobe. Статистика по срабатыванию уязвимости CVE-2010-0188 В ходе дальнейшего анализа выяснилось, что основным функционалом
PDF файла является скачивание и запуск другого файла. Им оказался дроппер
Trojan-Dropper.Win32.Zbot.cm, основное назначение которого – скрытая
установка в системе основного бота Zbot (ZeuS) и противодействие
антивирусам. Специалистам удалось получить конечный экземпляр Zbot, но он оказался
зашифрованным и обфусцированным. Далее был получен его дамп и
расшифрованные строки. Среди них присутствует явная ссылка на целевой
банковский сайт, http-запросы бота и некоторые команды, используемые
C&C ботнета Zbot. Их можно увидеть на скриншоте ниже.
Фрагмент расшифрованного файла Zbot Это первый зафиксированный случай распространения Zbot через уязвимость CVE-2010-0188. Его разработчики не сидят на месте, а используют самые новые способы доставки своего продукта до пользователей. Мы же ещё раз настоятельно рекомендуем пользователям: обязательно сканируйте файлы перед открытием, даже если последние получены из проверенного источника, в особенности это касается PDF или GIF файлов. | |
|
Всего комментариев: 0 | |