شماره: IRCNE2014052202
تاريخ: 7/3/93
به نظر ميرسد كه يك تروجان جديد كه كاربران 450 موسسه مالي در سراسر دنيا را هدف قرار داده است، عملكرد و ويژگيهاي خود را مستقيماً از تروجانهاي بدنام زئوس و Carberp به ارث برده باشد.
اين تهديد جديد كه توسط محققان امنيتي شركت Trusteer (زيرمجموعه آيبيام) Zberp نام گرفته است، ويژگيهاي متنوعي دارد. اين تروجان ميتواند اطلاعاتي شامل آدرس آيپي و نام را در مورد سيستمهاي آلوده جمعآوري كند، از صفحه نمايش تصوير تهيه كرده و براي يك سرور راه دور ارسال نمايد، اطلاعات اعتباري FTP و POP3، گواهينامههاي SSL و اطلاعات وارد شده در فرمهاي وب را سرقت كند، سشنهاي مرورگر را سرقت نمايد و اقدام به قرار دادن محتواي جعلي در صفحات باز وب كند و با استفاده از پروتكلهاي VNC و RDP، ارتباط راه دور جعلي (remote desktop) برقرار نمايد.
محققان Trusteer اعتقاد دارند كه Zberp يك ويرايش از ZeusVM است. ZeusVM يك ويرايش اخير از تروجان زئوس است كه كد منبع آن در سال 2011 در فرومهاي زيرزميني لو رفته است. ZeusVM در ماه فوريه كشف شد و با نوجه به اينكه نويسندگان آن از پنهاننگاري (steganography) براي پنهان كردن دادههاي پيكربندي در درون تصاوير استفاده كردهاند، از ساير نسخههاي زئوس متمايز ميگردد.
نويسندگان Zberp نيز از همين تكنيك استفاده كردهاند كه اين بدان معناست كه از كشف شدن توسط برنامههاي ضدبدافزار جلوگيري ميكنند، چرا كه بهروز رسانيهاي پيكربندي را به شكل پنهان درون يك تصوير لوگوي اپل ارسال ميكنند. البته اين تهديد جديد از تكنيكهاي hook نيز براي كنترل مرورگر استفاده ميكند كه به نظر ميرسد اين ويژگي را از Carberp قرض گرفته باشد. Carberp نيز يك تروجان بانكي است كه كد منبع آن در سال گذشته لو رفت.
به گفته يكي از محققان Trusteer، پس از لو رفتن كد منبع Carberp به صورت عمومي انتظار ميرفت كه در زمان كوتاهي مجرمان سايبري اقدام به تركيب كد منبع زئوس با كد منبع Carberp نمايند و يك بدافزار جديد توليد كنند.
Zberp همچنين مشابه ZeusVM كليد رجيستري خود را در هنگام اجرا حذف ميكند و به محض اينكه شاتداون شدن سيستم را تشخيص داد، آن را باز ميگرداند.
بنا بر گزارش Virus-Total، تروجان Zberp در ابتداي كشف از چشم اغلب نرمافزارهاي آنتيويروس پنهان باقي ميماند.
- 3