ویروس Zeus، جان سختتر از گذشته
ویروس Zeus که عمدتاً عملیات و اطلاعات بانکی را مورد هدف قرار میدهد، در نسخه جدید به قابلیت P2P یا Peer-to-Peer مجهز شده و از کار انداختن شبکههای مخرب Zeus را دشوارتر از گذشته کرده است.
حدود یکسال قبل، شرکت ضدویروس Trend Micro یک فایل به نام LICAT را به فعالیت ویروس Zeus ارتباط داد و توانست نشان دهد که این فایل چگونه به بروز رسانی و مخفی ماندن ویروس Zeus کمک میکند. برنامه LICAT از یک فرمول خاص برای تولید شانسی نام دامنه استفاده میکند. این دامنه برای دریافت فرامین جدید و فایلهای به روز رسانی ویروس توسط گردانندگان Zeus مورد استفاده قرار میگیرد. گردانندگان ویروس از قبل میدانند که چه نام دامنهای تولید خواهد شد و در فرصت مناسب اقدام به ثبت آن دامنه و قراردادن اطلاعات و فایل های لازم بر روی آن میکنند؛ عملکردی شبیه ویروس Conficker.
اخیراً برخی کارشناسان امنیتی متوجه شدند که فایل LICAT فعالیت چندانی نداشته و دامنه جدیدی توسط شبکه Zeus ثبت نشده و مورد استفاده قرار نگرفته است. بررسی بیشتر آخرین نسخه ویروس Zeus نشان داد که ترافیک جدید و مشخصی از نوع UDP توسط ویروس ایجاد میشود. در نسخه جدید، به محض نصب ویروس بر روی یک کامپیوتر جدید، به چند نشانی IP که به صورت رمز شده داخل ویروس نگهداری میشود، مراجعه می گردد. این نشانیها مربوط به دستگاههایی هستند که از قبل آلوده به Zeus شدهاند. ویروس ابتدا اقدام به دریافت یک سری IP جدید از کامپیوتر آلوده میکند و اگر نسخه موجود بر روی کامپیوتر دیگر جدیدتر باشد، نسخه جدید را نیز دریافت کرده و بر روی این کامپیوتر نصب میکند.
ویروس Zeus یکی از قدیمیترین و محبوبترین ابزارهای مخرب و سرقت اطلاعات است که مخصوص عملیات بانکی طراحی و نوشته شده است. در سالهای گذشته، این ابزار نرمافزاری، به مبالغ هنگفت خرید و فروش میشد. ولی سال گذشته برنامه ویروس به طور عمومی منتشر شد و اکنون گروههای بزرگ و کوچک خرابکاری، اقدام به ساخت نسخه ویژه خود از ویروس Zeus کردهاند. نسخه جدید Zeus هم احتمالاً به طور اختصاصی برای یک گروه خاص تهیه شده است.
خوشبختانه در نسخه جدید هم ویروس هنوز به مرکز کنترل و فرماندهی که همان دامنه ثبت شده توسط گردانندگان Zeus است، وابسته است. بدین ترتیب کارشناسان امنیتی تا زمانیکه نام دامنه تغییر داده نشود، همچنان میتوانند عملیات ویروس را دنبال کنند. در صورت تغییر نام دامنه، کارشناسان مجبور به جستجو و تحقیق مجدد برای یافتن نام دامنه جدید خواهند بود.
ظرف 24 ساعت فعالیت نسخه جدید ویروس Zeus که تحت نظر کارشناسان امنیتی بوده است، بیش از 100 هزار نشانی IP منحصر بفرد توسط این ویروس پردازش شده است. این تعداد شاید اندازه و وسعت واقعی شبکه مخرب Zeus را نشان ندهد، چون یک نشانی IP ممکن است توسط کاربران مختلف در زمانهای متفاوت مورد استفاده قرار گیرد، ولی این نکته را کاملاً مشخص میکند که ردگیری فعالیت ویروس و کامپیوترهای آلوده شده توسط این ویروس، دشوارتر از گذشته شده است.
این آمار جمعآوری شده از نشانیهای IP، نشان میدهد که بیشترین فعالیت ویروس Zeus در کشورهای هند، ایتالیا و آمریکا است. طبق آخرین آمار و گزارشات موسسههای تحقیقاتی مختلف، ویروس Zeus بزرگترین تهدید علیه سیستمهای بانکداری الکترونیکی جهان است.