Stary malware w nowej odsłonie

Analitycy z firmy Trend Micro odkryli powrót malware’u ZBOT

Tags: malware, ZBOT, Rik Ferguson

Warszawa, 2 lipca 2013 r. - Kto powiedział, że nie można nauczyć starego oprogramowania nowych sztuczek? Niedawno pojawiły się informacje o swego rodzaju powrocie malware’u ZBOT. Wkrótce potem media przekazały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A teraz okazuje się, że istnieje całkiem nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.

„Niecodzienne zachowanie malware’u ZBOT potwierdza prognozy Trend Micro na 2013 rok, w których przewidziano, że stare zagrożenia pojawią się w nowych, udoskonalonych i skuteczniejszych postaciach” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.
Ta konkretna odmiana ZBOT-a ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Jeśli użytkownik otworzy plik za pomocą programu Adobe Reader, uruchomiona zastaje procedura, w wyniku której na ekranie wyświetla się okienko pop-up.
W tym momencie złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i zostaje uruchomiony. Istnieje kilka dość istotnych różnić w porównaniu do poprzedniej wersji tego malware’u.

Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: potrafi pobrać i uruchomić zaktualizowaną kopię samego siebie. Po drugie, może z łatwością rozprzestrzeniać się na inne systemy za pośrednictwem pamięci przenośnych, np. pendrive'ów. Dokonuje tego wyszukując dyski wymienne, a następnie tworząc w nich ukryty katalog z własną kopią oraz skrót odsyłający do ZBOT - a.

Ten rodzaj rozprzestrzeniania jest dość nietypowy. ZBOT wędruje zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Tymczasem zdolność do samodzielnego rozpowszechniania jest w przypadku tego programu sporą niespodzianką. Może to oznaczać dalszy wzrost liczby systemów zarażonych tym malwarem.

Tego rodzaju przykłady pokazują, w jaki sposób zmienia się obszar oprogramowania crimeware. To konkretne zagrożenie zostało już opisane przez ekspertów Trend Micro w artykule zatytułowanym The Crimeware Evolution. Wykorzystywanie dysków wymiennych czy automatyczna aktualizacja do rozpowszechniania się nie jest nową ani innowacyjną cechą, ponieważ wiele złośliwych programów korzystało już z tych funkcji. W szczególności warto tu wspomnieć o Conficker/DOWNAD, który obu tych strategii używał bardzo skutecznie i który do dziś pozostaje dużym zagrożeniem. Mimo że ma już parę dobrych lat, został umieszczony na liście 10 najbardziej niebezpiecznych złośliwych programów w obu Amerykach i rejonie Morza Karaibskiego w 2012 roku.

Trend Micro chroni użytkowników poprzez wykrywanie WORM_ZBOT.GJ i blokowanie witryn powiązanych z tym zagrożeniem.

Więcej informacji dotyczących aktualnych zagrożeń znajduje się na stronie:
http://blog.trendmicro.com/trendlabs-security-intelligence/

Informacje na temat firmy Trend Micro

Trend Micro Incorporated (TYO: 4704, TSE: 4704) jako światowy lider w dziedzinie oprogramowania i rozwiązań zabezpieczających dąży do zapewnienia bezpiecznego globalnego środowiska wymiany informacji cyfrowych. Od ponad 25 lat jej pracownicy dokładają wszelkich starań, aby zapewnić bezpieczeństwo użytkownikom, rodzinom, firmom i organizacjom rządowym korzystającym z możliwości współczesnych technologii i nowych sposobów udostępniania informacji.

Informacje stanowią obecnie w firmach jeden z najcenniejszych zasobów strategicznych, który decyduje o ich przewadze nad konkurencją i odpowiednim funkcjonowaniu. Gwałtowny rozwój technologii związanych z urządzeniami przenośnymi, sieciami społecznościowymi i środowiskiem chmury sprawia, że ochrona tych informacji stanowi coraz większe wyzwanie. Organizacjom potrzebna jest odpowiednio dobrana strategia ochrony.

Informacje są chronione w sposób inteligentny z użyciem innowacyjnych rozwiązań zabezpieczających, które można łatwo wdrożyć, bezproblemowo nimi zarządzać i dopasować do zmieniającego się ekosystemu. Rozwiązania firmy Trend Micro zapewniają wielopoziomową ochronę zawartości na urządzeniach przenośnych i serwerach oraz w punktach końcowych, bramach i chmurze. Korzystając z tych rozwiązań, organizacje mogą zapewnić bezpieczeństwo użytkowników końcowych, zmieniających się centrów danych, zasobów w chmurze i innych informacji zagrożonych coraz bardziej wymyślnymi atakami.

Wszystkie rozwiązania korzystają z opartego na chmurze mechanizmu globalnej ochrony przed zagrożeniami, Trend Micro™ Smart Protection Network™, a ich obsługę zapewnia 1200 ekspertów ds. zagrożeń z całego świata. Dodatkowe informacje — www.trendmicro.pl.