Новый вариант Zeus прячется в картинках

Новый обнаруженный вариант банковского троянца Zeus использует для своей дистрибуции такой сравнительное экзотический способ распространения, как стеганография или, проще говоря, код Zeus встраивается в байт-код графического файла и предстает с точки зрения пользователя, как обычный файл фотографии.

Новый вариант получил название ZeusVM, он скачивает конфигурационный файл, содержащий список банковских доменов, с которыми вредонос работает, осуществляя свою противозаконную деятельность. Жером Сегура, старший специалист по безопасности французской компании Malwarebytes, говорит, что ZeusVM использует JPG-файлы для собственной маскировки и отсылает краденные данные на серверы тех же сетей, что и прежние варианты Zeus. Это позволяет говорить о том, что за новым вариантом вредоноса стоят прежние разработчики.

По его словам, принцип стенографии давно использовался вредоносным софтом, дабы повысить вероятность сокрытия вредоносного кода от антивирусных сканеров. «С точки зрения веб-мастера, изображения, особенно те, что выполняются локально, выглядят безопасными», — говорит Сегура.

Вычислить наличие вредоноса можно только путем сравнения размеров «чистой» и «вредоносной» картинки или сравнения в режиме bitmap. Данные Zeus в байткоде закодированы при помощи алгоритмов RC4 и XOR. В первую очередь Zeus интересуется такими онлайн-банкингами, как Deutsche Bank, Wells Fargo и Barclays.