image

Herrezen Zeus gebruikt dubbele encryptie

zondag 6 maart 2011, 11:52 door Redactie, 1 reacties

Er is een nieuwe versie van de beruchte Zeus Trojan actief, die dubbele encryptie gebruikt om zijn activiteiten te verbergen. Eind vorig jaar werd bekend dat de auteur van de Zeus Trojan de broncode aan concurrerende auteur van de SpyEye Trojan had gegeven. Beide Trojaanse paarden zijn ontwikkeld om bankrekeningen te plunderen. Onderzoekers waren dan ook bang voor een hybride, een super-Trojaans paard. Een voorzichtige combinatie werd begin januari ontdekt, maar ook de oorspronkelijke Zeus Trojan is nog steeds in ontwikkeling, aldus onderzoekers van Kaspersky Lab.

Een aantal weken geleden werd een variant aangetroffen die ongewoon gedrag voor de Zeus-familie vertoonde. Alle laatste Zeus-varianten gebruikten hetzelfde algoritme voor het ontsleutelen van het gedeelte met de instellingen, zoals configuratie en encryptiesleutel voor het verkeer. De allernieuwste versie gebruikt tot verbazing van de analisten dubbele encryptie. De gegevens worden nog steeds met het standaard algoritme ontsleuteld, maar het adres en het configuratiebestand waren nep. De echte link met het configuratiebestand, waarin het adres van de command en controle server staat, werd pas na een tweede ontsleuteling zichtbaar.

Ondersteuning
Naast deze variant werd er een aantal dagen geleden een versie ontdekt die controleert of het door anti-virusbedrijven wordt geanalyseerd. De functionaliteit is op een aantal aanpassingen na hetzelfde, maar is er een nieuw testplatform toegevoegd. Ook andere delen, die de afgelopen zes maanden onveranderd waren gebleven, waren nu aangepast. De toevoeging om een nieuw testplatform te detecteren is volgens analist Dmitry Tarakanov uniek en een optionele extra. "Dit suggereert dat technische ondersteuning voor de laatste VIP-klanten nog steeds beschikbaar is."

Reacties (1)
06-03-2011, 16:21 door spatieman
[admin] Reactie verwijderd [/admin]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.