Roland (roland) wrote,
Roland
roland

Category:

Цены на трояны o_o

С одного известного хак-форума, цены на лицензионную версию ZeuS - одного из самых популярных троев:

- базовая версия с поддержкой Win7/Vista - $6000
- бекконнект - $10 000 (удаленное управление инфицированными компьютерами)
- Firefox form grabber - $2000 (модуль, собирающий информацию из полей ввода данных авторизации в Firefox)
- грабинг FTP с популярных клиентов - $2000
- Jabber Chat Notifier - $500 (получение украденной информации в режиме реального времени через клиент протокола мгновенных сообщений Jabber)

А последняя версия Зевса стоит от 100 000 $, ориентирована на проведение крупных переводов, умеет обходить большинство двухфакторных и других защит банковских систем. И ко всему этому, Зевс использует полиморфное шифрование, что затрудняет его обнаружение антивирусами. Компьютер жертвы заражается вирусом ZeuS Trojan-Spy.Win32.Zbot главным образом через электронную почту или загрузки с веб сайтов. При открытии зараженного электронного сообщения, происходит автоматическая инсталляция программы в компьютер жертвы и отправка обнаруженных данных владельцу ботнета – логины и пароли, банковские операции, пароли, реквизиты и прочие.

Cайт, который отслеживает процессы жизнедеятельности Зевса - https://zeustracker.abuse.ch

Самый очевидный совет – не открывайте файлы от незнакомый людей. От знакомых, в прочим, тоже. Они могут даже не подозревать, что файл заражён. Вывод: почаще обновляйте антивирусные программы. Также отслеживайте свой исходящий трафик и ставьте фаерволы.

Если Вы всё такие подхватили ZeuS Trojan-Spy.Win32.Zbot, сделайте следующее:
- поищите папку Wsnpoem
- поищите файлы с именами NTOS.EXE, LD08.EXE, LD12.EXE, PP06.EXE, PP08.EXE, LDnn.EXE и PPnn.EXE. Но возможны варианты. “Весит” файл 40- 150 Кбайт и имеет атрибут “скрытый”.
- проверьте реестр. ZeuS делает там изменения, чтобы получить для себя права администратора компьютера.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
было:
“Userinit” = “C:\WINDOWS\system32\userinit.exe”
стало:
“Userinit” = “C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe”

а так же в HKCU\Software\Microsoft\Windows\CurrentVersion\Run
добавлено:
“Userinit” = “C:\Documents and Settings\\Application Data\sdra64.exe”

Tags: офигеть
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 6 comments