Zeus, также известный как Zbot является пресловутым трояном. Который заражает пользователей Windows и пытается извлечь конфиденциальную информацию с зараженных компьютеров. После установки он также пытается загрузить файлы конфигурации и обновления из Интернета.
Файлы Zeus создаются и настраиваются с использованием инструментария для создания троянских программ. Который доступен онлайн для киберпреступников Zeus был создан для кражи личных данных из зараженных систем. Таких как системная информация, пароли, банковские учетные данные или другие финансовые данные, и его можно настроить для сбора банковских данных в конкретных странах и с использованием различных методов. Используя полученную информацию, киберпреступники входят в банковские счета и осуществляют несанкционированные денежные переводы через сложную сеть компьютеров.
ZeuS развивался с течением времени и включает в себя полный арсенал возможностей кражи информации:
- Похищает данные, представленные в формах HTTP
- Крадет учетные данные, хранящиеся в защищенном хранилище Windows
- Похищает сертификаты инфраструктуры открытых ключей (PKI) на стороне клиента X.509
- Похищает учетные данные FTP и POP
- Украсть удалить HTTP и Flash куки
- Изменяет HTML-страницы целевых веб-сайтов для кражи информации.
- Перенаправляет жертв с целевых веб-страниц на контролируемые злоумышленниками
- Делает скриншоты и снимает HTML с целевых сайтов
- Поиск и загрузка файлов с зараженного компьютера
- Изменяет файл локальных хостов systemroot% system32 drivers etc hosts)
- Загрузка и выполнение произвольных программ
- Удаляет важные ключи реестра. Делая компьютер неспособным загрузиться в Windows Zbot Zeus основан на модели клиент-сервер и требует наличия командного и управляющего сервера для отправки и получения информации по сети. Единственный сервер управления и контроля считается слабым местом в архитектуре вредоносных программ. И является целью правоохранительных органов при работе с Zeus.
Чтобы противостоять этому слабому месту, последний вариант Zeus Zbot включает DGA (алгоритм генерации домена). Что делает серверы управления и контроля устойчивыми к попыткам удаления. DGA генерирует список доменных имен, к которым боты пытаются подключиться, если сервер управления и контроля недоступен.
Zeus Zbot, известный под многими именами, включая PRG и Infostealer, уже заразил более 3,6 миллиона систем в мире.