Новий варіант P2P Zeus містить руткіт

admin Новини ІТ-безпеки

Новий варіант P2P Zeus містить руткітВ Мережі зафіксована активність ботнету з пристроїв, заражених версією банківського трояна Zeus. Особливістю цього варіанту шкідливого ПЗ є його установка руткіта, який запобігає його розпізнаванню антивірусними рішеннями, повідомляє Кен Чен (Kan Chen) з Fortinet.

За словами ІБ-експерта, перед початком своєї активності новий шкідливий також сканує комп'ютер в пошуках вже встановленої версії 0x38 трояна ZeuS. Потім він замінює її бінарними файлами версії 0X3B.

Кожен бінарник P2P Zeus витягує номер версії з пакету оновлення і порівнює його з номером, який жорстко зазначений у коді для того, щоб підтвердити вдалу установку апдейта, підкреслює Чен.

У Fortinet кажуть, що єдиною відмінністю нової версії P2P Zeus від попередніх є те, що він розміщує файл драйвера руткита в папку %SYSTEM32%\drivers. Більш ранні варіанти трояна встановлювали його разом з усім функціоналом.

Руткіт значним чином ускладнює не тільки процес виявлення шкідливий, але і його видалення з зараженої системи.

Цілком імовірно, що інфікувати ботів вдалося за допомогою шкідливої кампанії з використанням підроблених листів від Sturbucks.