فا

‫ تروجان بانكي جديد Zberp

شماره: IRCNE2014052202
تاريخ: 7/3/93
 
به نظر مي‌رسد كه يك تروجان جديد كه كاربران 450 موسسه مالي در سراسر دنيا را هدف قرار داده است، عملكرد و ويژگي‌هاي خود را مستقيماً از تروجان‌هاي بدنام زئوس و Carberp به ارث برده باشد.
اين تهديد جديد كه توسط محققان امنيتي شركت Trusteer (زيرمجموعه آي‌بي‌ام) Zberp نام گرفته است، ويژگي‌هاي متنوعي دارد. اين تروجان مي‌تواند اطلاعاتي شامل آدرس آي‌پي و نام را در مورد سيستم‌هاي آلوده جمع‌آوري كند، از صفحه نمايش تصوير تهيه كرده و براي يك سرور راه دور ارسال نمايد، اطلاعات اعتباري FTP و POP3، گواهينامه‌هاي SSL و اطلاعات وارد شده در فرم‌هاي وب را سرقت كند،  سشن‌هاي مرورگر را سرقت نمايد و اقدام به قرار دادن محتواي جعلي در صفحات باز وب كند و با استفاده از پروتكل‌هاي VNC و RDP، ارتباط راه دور جعلي (remote desktop) برقرار نمايد.
محققان Trusteer اعتقاد دارند كه Zberp يك ويرايش از ZeusVM است. ZeusVM يك ويرايش اخير از تروجان زئوس است كه كد منبع آن در سال 2011 در فروم‌هاي زيرزميني لو رفته است. ZeusVM در ماه فوريه كشف شد و با نوجه به اينكه نويسندگان آن از پنهان‌نگاري (steganography) براي پنهان كردن داده‌هاي پيكربندي در درون تصاوير استفاده كرده‌اند، از ساير نسخه‌هاي زئوس متمايز مي‌گردد.
نويسندگان Zberp نيز از همين تكنيك استفاده كرده‌اند كه اين بدان معناست كه از كشف شدن توسط برنامه‌هاي ضدبدافزار جلوگيري مي‌كنند، چرا كه به‌روز رساني‌هاي پيكربندي را به شكل پنهان درون يك تصوير لوگوي اپل ارسال مي‌كنند. البته اين تهديد جديد از تكنيك‌هاي hook نيز براي كنترل مرورگر استفاده مي‌كند كه به نظر مي‌رسد اين ويژگي را از Carberp قرض گرفته باشد. Carberp نيز يك تروجان بانكي است كه كد منبع آن در سال گذشته لو رفت.
به گفته يكي از محققان Trusteer، پس از لو رفتن كد منبع Carberp به صورت عمومي انتظار مي‌رفت كه در زمان كوتاهي مجرمان سايبري اقدام به تركيب كد منبع زئوس با كد منبع Carberp نمايند و يك بدافزار جديد توليد كنند.
Zberp همچنين مشابه ZeusVM كليد رجيستري خود را در هنگام اجرا حذف مي‌كند و به محض اينكه شات‌داون شدن سيستم را تشخيص داد، آن را باز مي‌گرداند.
بنا بر گزارش Virus-Total، تروجان Zberp در ابتداي كشف از چشم اغلب نرم‌افزارهاي آنتي‌ويروس پنهان باقي مي‌ماند.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 7 خرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0