Warszawa, 2 lipca 2013 r. - Kto powiedział, że nie można nauczyć starego oprogramowania nowych sztuczek? Niedawno pojawiły się informacje o swego rodzaju powrocie malware’u ZBOT. Wkrótce potem media przekazały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A teraz okazuje się, że istnieje całkiem nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.
„Niecodzienne zachowanie malware’u ZBOT potwierdza prognozy Trend Micro na 2013 rok, w których przewidziano, że stare zagrożenia pojawią się w nowych, udoskonalonych i skuteczniejszych postaciach” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.
Ta konkretna odmiana ZBOT-a ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Jeśli użytkownik otworzy plik za pomocą programu Adobe Reader, uruchomiona zastaje procedura, w wyniku której na ekranie wyświetla się okienko pop-up.
W tym momencie złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i zostaje uruchomiony. Istnieje kilka dość istotnych różnić w porównaniu do poprzedniej wersji tego malware’u.
Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: potrafi pobrać i uruchomić zaktualizowaną kopię samego siebie. Po drugie, może z łatwością rozprzestrzeniać się na inne systemy za pośrednictwem pamięci przenośnych, np. pendrive'ów. Dokonuje tego wyszukując dyski wymienne, a następnie tworząc w nich ukryty katalog z własną kopią oraz skrót odsyłający do ZBOT - a.
Ten rodzaj rozprzestrzeniania jest dość nietypowy. ZBOT wędruje zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Tymczasem zdolność do samodzielnego rozpowszechniania jest w przypadku tego programu sporą niespodzianką. Może to oznaczać dalszy wzrost liczby systemów zarażonych tym malwarem.
Tego rodzaju przykłady pokazują, w jaki sposób zmienia się obszar oprogramowania crimeware. To konkretne zagrożenie zostało już opisane przez ekspertów Trend Micro w artykule zatytułowanym The Crimeware Evolution. Wykorzystywanie dysków wymiennych czy automatyczna aktualizacja do rozpowszechniania się nie jest nową ani innowacyjną cechą, ponieważ wiele złośliwych programów korzystało już z tych funkcji. W szczególności warto tu wspomnieć o Conficker/DOWNAD, który obu tych strategii używał bardzo skutecznie i który do dziś pozostaje dużym zagrożeniem. Mimo że ma już parę dobrych lat, został umieszczony na liście 10 najbardziej niebezpiecznych złośliwych programów w obu Amerykach i rejonie Morza Karaibskiego w 2012 roku.
Trend Micro chroni użytkowników poprzez wykrywanie WORM_ZBOT.GJ i blokowanie witryn powiązanych z tym zagrożeniem.
Więcej informacji dotyczących aktualnych zagrożeń znajduje się na stronie:
http://blog.trendmicro.com/trendlabs-security-intelligence/
Informacje o firmie Trend Micro
Firma Trend Micro Incorporated jako światowy lider w dziedzinie oprogramowania zabezpieczającego dąży do zapewnienia bezpiecznego globalnego środowiska wymiany informacji cyfrowych. Nasze rozwiązania dla użytkowników indywidualnych, firm i organizacji rządowych umożliwiają wielopoziomową ochronę zawartości na urządzeniach przenośnych i serwerach oraz w punktach końcowych, bramach i chmurze. Informacje są chronione w sposób inteligentny z użyciem innowacyjnej technologii zabezpieczeń, którą można łatwo wdrożyć, bezproblemowo nią zarządzać i dopasować do zmieniającego się ekosystemu. Wszystkie rozwiązania korzystają z opartego na chmurze mechanizmu globalnej ochrony przed zagrożeniami, Trend Micro™ Smart Protection Network™, a ich obsługę zapewnia 1200 ekspertów ds. zagrożeń z całego świata. Więcej informacji — www.trendmicro.pl.
Kontakt dla prasy:
Aleksandra Bojanowska
Monday PR
Tel.: (22) 487-84-21
E-mail: aleksandra.bojanowska@mondaypr.pl
W sprawach handlowych prosimy o kontakt z polskim biurem Trend Micro:
Warsaw Trade Tower, piętro 30, ul. Chłodna 51, 00-867 Warszawa
Tel.: + 22 486 34 50
e-mail: biuro@trendmicro.com
