Днями представниками СБУ спільно з ФБР, поліцією Нідерландів та поліцією Великобританії було проведено затримання п'ятьох осіб, підозрюваних в розробці і використанні програми-трояна "Zeus", яка за кілька років принесла своїм творцям прибуток в $ 70 млн.
Співробітники правоохоронних органів вважають, що ця п'ятірка заарештованих є "мозком" всієї організації. Саме ці люди розробили і реалізували схему викрадення та переведення в готівку грошових коштів.
Як стверджують експерти з ФБР, хакери намагалися вкрасти в цілому 220 млн. $. За межі США, за різними офшорним схемам, було виведено 70 млн. $.
І ось зараз, коли ботнет практично знешкоджений, організатори заарештовані, а виконавці оголошені в міжнародний розшук, слідство має достатніми відомостями, щоб скласти повну картину роботи проекту "Zeus".
Схема роботи ботнету "Zeus"
Принцип роботи ботнету, в загальному то, особливо не відрізняється від інших подібних схем. Його, скоріше, виділяє якість написання програмного коду, функціональні можливості, постійні оновлення та доопрацювання, а також масштаб і налагоджена робота на всіх стадіях - від продажу ПО для створення ботнету до переведення в готівку грошей. Zeus лежить в основі дуже великої кількості різних ботнетів, і всі вони контролюються різними людьми.
Керували ботнетом в цілому 5-10 чоловік. Раніше вважалося, що за Zeus стоїть російська група хакерів "Rock Phish", яка використовує його для крадіжки номерів кредиток і банківських рахунків. Але на думку компанії SecureWorks, яка відстежувала роботу ботнету протягом декількох останніх років, головний творець Zeus - це одна людина, яка живе в Санкт-Петербурзі.
На даний момент в організації "проекту Zeus" підозрюються 92 осіб, 39 з яких вже заарештовано, а решта оголошені в розшук. Їх фото можна подивитися на сайті ФБР. У разі якщо їх провина буде доведена, хакерів очікує від 10 до 30 років в'язниці і штраф від 250 000 до 1 000 000 $, в залежності від кількості нанесеного фінансового збитку і ступеня причетності.
До речі, в інтернеті навіть є сайт, який відстежує процеси життєдіяльності Зевса. Подивитися можна тут. І за його даними, Україна стоїть на 1 місці в тор-10 списку країн, яких хоститься ZeuS (з файлами online) і на 3 за кількістю розміщених його адмінок. Також спостерігається явна динаміка спаду активності ботнету з моменту арештів "верхівки". Можливо це відбувається і через те, що в Росії був розроблений конкурент Зевса - ботнет Spy Eye, який потрапляючи в системи, заражені Зевсом, забирає його бази даних, а потім повністю знищує його код.
Наостанок дамо кілька порад як убезпечити свій комп'ютер від зараження і що робити, якщо він таки був заражений.
Найбільш очевидний рада - не відчиняйте файли від незнайомий людей. Від знайомих, в іншим, теж. Вони можуть навіть не підозрювати, що файл заражений. Висновок: частіше оновлюйте антивірусні програми. Також відстежуйте свій вихідний трафік і ставте фаєрволи.
Якщо Ви все такі підхопили ZeuS Trojan-Spy.Win32.Zbot, зробіть наступне:
- пошукайте папку Wsnpoem
- пошукайте файли з іменами NTOS.EXE, LD08.EXE, LD12.EXE, PP06.EXE, PP08.EXE, LDnn.EXE і PPnn.EXE. Але можливі варіанти. "Важить" файл 40- 150 Кбайт і має атрибут "прихований".
- перевірте реєстр. ZeuS робить там зміни, щоб отримати для себе права адміністратора комп'ютера.
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
було:
"Userinit" = "C: WINDOWSsystem32userinit.exe"
стало:
"Userinit" = "C: WINDOWSsystem32userinit.exe, C: WINDOWSsystem32sdra64.exe"
а так само в HKCUSoftwareMicrosoftWindowsCurrentVersionRun
додано:
"Userinit" = "C: Documents and Settings
- Оновлення свій антивірус і він сам все зробить :-)
А адміністраторам корпоративних мереж настійно рекомендую ознайомитися з ZeuS blocklist.