ZeuS-P2P internals – opis wykorzystywanych mechanizmów

Data publikacji: 07/06/2013, CERT Polska

zp2p_ico

Na początku 2012 roku pisaliśmy o pojawieniu się nowej wersji ZeuSa – nazywanej ZeuS-P2P lub Gameover. Wykorzystuje ona sieć P2P (Peer-To-Peer) do komunikacji oraz wymiany danych z Centrum Zarządzania CnC. Malware ten jest nadal aktywny – zagrożenie od ponad roku monitorowanie oraz badane przez CERT Polska. W drugiej połowie 2012 roku dotknęło ono bezpośrednio Polskich użytkowników – konkretnie użytkowników bankowości elektronicznej.

Jedną z rzeczy która odróżnia gameover od innych mutacji i wersji oprogramowania z kategori ZeuS jest występowanie tylko jednej instancji tego botnetu. Standardowo ZeuS – czy też jego główny następca Citadel – sprzedawany jest jako tzw. crimeware toolkit, czyli zestaw do samodzielnego montażu. Każdy nabywca zestawu tworzy swóją instancję botnetu – infekuje komputery, zbiera wykradzione informacje, wydaje polecenia. ZeuS-P2P nie jest sprzedawany – istnieje jedna instancja, jeden botnet.

Niniejszy raport zawiera informacje, które powinny pozwolić przeciętnemu użytkownikowi zrozumieć naturę zagrożenia oraz pokazać w jaki sposób można zidentyfikować zainfekowany komputer. Osoby bardziej zaawansowane czy też zajmujące się analizą złośliwego oprogramowania powinny również znaleźć interesujące fragmenty. Zamieszczony dokładny opis protokołu, czy też obszerne fragmenty odtworzonego kodu powinny wyjaśnić techniczne aspekty działania sieci P2P oraz nowe możliwości jakie niesie ze sobą malware.


Raport – wersja polska

Report – english version