Исследователи компании Symantec утверждают, что обновленный банковский троян использует исключительно P2P коммуникации.
Согласно сообщению исследователей из антивирусной компании Symantec, в сети Интернет появилась новая модификация известного банковского трояна Zeus. Специалисты отмечают, что для коммуникации обновленное вредоносное приложение использует исключительно P2P сети. Это дает злоумышленникам возможность децентрализовано управлять ботнетом.
«Каждый пир в ботнете может выступать в качестве C&C сервера, и в то же время ни один из них не является им», - пояснила исследователь Symantec Андреа Лели (Andrea Lelli) в своем блоге.
По словам эксперта, ранее каждый из компьютеров ботнета выступал в качестве пира, а конфигурационный файл, содержащий адрес C&C сервера, передавался поочередно от одного зараженного компьютера к другому.
«Нам пока неизвестно, как похищенные данные передаются злоумышленникам, но вполне вероятно, что они проходят через ряд пиров, прежде чем попасть в зону контролируемую злоумышленниками», - отметила Лели.
Данная модификация Zeus включает встроенный web-сервер на базе Nginx (популярный web-сервер с открытым исходным кодом, занимающий мало пространства). При этом каждый бот может работать с HTTP-запросами, что позволяет ему выполнять функции C&C. Подобными методами пользуются ботнеты Waledac и Kelihos.
Также Symantec удалось обнаружить, что протокол связи стал более широко использовать UDP, что затрудняет проводить мониторинг данных, проходящих через сеть зараженных компьютеров.
Исследователи также напомнили, что главным вектором инфекции, используемым Zeus, являются электронные письма с вредоносными вложениями. Более подробно ознакомиться с анализом экспертов можно здесь.
Источник: securitylab.ru.
| 
