زئوس (اسب تروآ)

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

زئوس تروجان (یا تروجان Zbot)، یکی از قدیمی‌ترین خانواده بدافزارهای مالی در جهان است که همچنان به حیات خود ادامه می‌دهد. هدف اصلی از فعالیت آن سرقت و کلاه‌برداری از بانک‌ها است و در عین حال می‌تواند انواع مختلف اطلاعات شخصی را نیز به سرقت ببرد. لازم به ذکر است که Zeus این روزها توسط خالق اولیه خود توسعه نمی‌یابد.
طبق اعلام شرکت امنیتی Prevx در سال ۲۰۰۹ تروجان زئوس بیش از ۷۴۰۰۰ اکانت را در سایت های مختلف به خطر انداخته بود. تعدادی از این سایت ها عبارتنداز :

  1. وب سایت بانک آمریکا
  2. وب سایت سازمان فضایی ناسا
  3. وب سایت کاریابی Monster
  4. وب سایت شبکه رادیویی و تلویزیونی ABC
  5. وب سایت شرکت اوراکل ، بزرگترین سازنده برنامه های دیتابیس
  6. وب سایت شرکت سیسکو سیستمز ، بزرگترین سازنده سخت افزار و نرم‌افزارهای شبکه ای در دنیا
  7. وب سایت آمازون
  8. وب سایت مجله BusinessWeek

شبکه ای از سیستم های آلوده شده که بات نت نامیده می شوند توسط این بدافزار گردآوری شده اند که فقط در ایالات متحده آمریکا سه میلیون و ششصد هزار بات دارد که این آمار همچنان در حال افزایش است .

در ۲۸ اکتبر سال ۲۰۰۹ میلادی این تروجان حدود یک و نیم میلیون پیام جعلی فیشینگ را به اکانت های موجود در سایت فیس بوک ارسال کرد .

در تاریخ ۳ نوامبر ۲۰۰۹ نیز یک زوج بریتانیایی به دلیل استفاده از تروجان زئوس ( طبق اعترافات خودشان ) دستگیر شدند.

به طور کلی این تروجان در سال ۲۰۰۹ حدود ۹ میلیون اسپم ارسال کرد .اما هنوز در سال ۲۰۱۰ نیز این بدافزار به فعالیت خود ادامه می دهد.

در تاریخ ۱۴ ژوئیه ۲۰۱۰ شرکت امنیتی Trusteer گزارش داد که کارت های اعتباری بیش از ۱۵ بانک آمریکایی در معرض خطر حمله این بدافزار قرار دارند. لازم به ذکر است که این شرکت هیچ نامی از این بانک ها نبرد.

پس از گذشت حدوداً سه ماه از این گزارش ، FBI ( پلس فدرال آمریکا ) اعلام کرد مدارکی از وجود یک شبکه بزرگ جرائم اینترنتی حکایت می کند. این شبکه با استفاده از تروجان زئوس به سیستم های کامپیوتری کشور آمریکا نفوذ کرده و تابحال مبلغی در حدود ۷۰ میلیون دلار سرقت کرده است.
تاکنون بیش از ۱۰۰ نفر از افرادی که از این تروجان استفاده کرده اند دستگیر شدند که ۹۰ نفر از آنها آمریکایی و بقیه انگلیسی و اوکراینی هستند.

گسترش[ویرایش]

تروجان زئوس کامپیوترهای بیش از ۱۹۶ کشور دنیا را به تسخیر خود در آورده است. پنج کشوری که بیشترین آمار آلودگی ها از آنها گزارش شده است ، عبارتنداز:

  1. مصر
  2. آمریکا
  3. مکزیک
  4. عربستان سعودی
  5. ترکیه

در مجموع بیش از ۲۴۰۰ کمپانی و سازمان در اثر حملات این تروجان آلوده شده اند.

سیستم عامل هدف[ویرایش]

باز هم مثل همیشه این سیستم عامل مایکروسافت ویندوز است که علاوه بر باگ های موجود، به دلیل استفاده گسترده در کل دنیا، هدف یک بدافزار دیگر قرار گرفته است. این بار ویندوز باید با زئوس دست و پنجه نرم کند. این بدافزار به غیر سیستم عامل ویندوز به هیچ یک از سیستم عامل های دیگر، کاری ندارد.
البته افرادی که از ویندوز XP سرویس پک ۲ استفاده می کنند باید آگاه باشند که آسیب پذیری بسیار شدیدی در اثر حمله این تروجان خواهند داشت.
لازم به ذکر است که این تروجان در درجه اول سعی در نفوذ به سیستم های کامپیوتری شرکت ها، بانک ها و زیر ساخت های دولتی را دارد اما کاربران خانگی نیز می توانند طعمه خوبی برای این تروجان باشند.

اطلاعات هدف[ویرایش]

زئوس اطلاعات مربوط به اکانت های شما در شبکه های اجتماعی ، سرویس های پست الکترونیک و موسسات مالی مثل بانک ها را هدف قرار می دهد.
طبق گزارشی که موسسه امنیتی Netwitness منتشر کرده است، وب سایت های زیر بیشترین آمار ربوده شدن اطلاعات اکانت کاربرانشان را دارا هستند: فیس بوک، یاهو،Hi5 ، Metroflag،Sonico ،Netlog

تشخیص و پاکسازی[ویرایش]

حتی اگر یک آنتی ویروس خوب نیز روی سیستم شما نصب باشد ، پیدا کردن زئوس بسیار مشکل است. شاید این اولین و بهترین دلیل باشد که چرا این خانواده از بدافزارها بزرگترین بات نت سراسر اینترنت را تشکیل می دهند . همانطور که اشاره شد ، کشور ایالات متحده آمریکا به تنهایی سه میلیون و ششصد هزار سیستم آلوده به این تروجان را دارد. البته این مورد توجیه خوبی برای آپدیت نکردن آنتی ویروستان نیست و شما باید همیشه آنتی ویروس خود را بروز نگه دارید.

همیشه می گویند پیشگیری بهتر از درمان است. این مورد را کارشناسان دنیای امنیت نیز تایید می کنند. همچنین برای Zeus نیز این مورد تجویز شده است . اگر در شبکه های اجتماعی یا پست الکترونیک برای شما لینک جذابی ارسال شد ، آن را باز نکنید. اگر دیدید که این پیام ( در شبکه اجتماعی ) و یا ایمیل از طرف دوستتان هست ، حتماً قبل از بازکردن لینک ، از دوست خود بپرسید که آیا او این لینک را برایتان فرستاده است یا خیر؟ زیرا ممکن است زئوس به اکانت دوست شما نفوذ کرده و از طریق لیست دوستان و آشنایان لینک های مخرب خود را برای شما ارسال کرده باشد. پس هر لینکی را که دیدید سریعاً آن را باز نکنید و کمی قبل از کلیک کردن تامل کنید .

در ۲۷ آگوست ۲۰۱۰ شرکت امنیتی کسپرسکی در وب سایت خود، مقاله ای را به منظور آموزش روش های مقابله با این تروجان منتشر کرد که در ادامه قسمت های مهم و قابل ذکر این مقاله را میخوانیم:

این تروجان از تکنیک مخفی سازی به روش روتکیت ها ( Rootkit ) بهره می برد تا در نهایت بتوانید فایل های اجرایی و پردازش خود را از دید کاربر مخفی نگه دارد. بدافزارهای خانواده این تروجان ( Win32.Zbot ) معمولاً از طریق مشاهده کردن صفحات اینترنتی آلوده به داخل کامپیوتر شما نفوذ می کنند. البته شما می توانید با استفاده از یک آنتی ویروس آپدیت شده ( به صورت منظم ) از تغییراتی که این بدافزار در سیستم شما ایجاد می کند ، آگاه شوید.

اگر شما نمی‌توانید از هیچ آنتی ویروسی روی کامپیوتر خود استفاده کنید، بنابراین باید از برنامه Zbotkiller استفاده کنید. لازم به ذکر است که قبل از انجام هرگونه عملیات بانکی، کامپیوتر خود را با استفاده از این برنامه اسکن کنید تا مانع از وارد آمدن هرگونه زیان مالی به خود شوید.

در ادامه مهمترین علائم مربوط به این تروجان را به شما نشان خواهیم داد:

ممکن است که یک یا چندین مورد از فایل های زیر در پوشه های system32 و AppData وجود داشته باشند:

  1. ntos.exe
  2. twex.exe
  3. tewxt.exe
  4. oembios.exe
  5. sdra64.exe
  6. lowsec\\local.ds
  7. lowsec\\user.ds

بیشتر تروجان ها رجیستری را یکی از امن ترین مکان ها برای خود می دانند. شاید یکی از دلایل این باشد که رجیستری بسیار گسترده بوده و پر از مسیرهای پیچ در پیچ و شاخه ای است و همچنین پر از کلیدهایی با نام های اختصاری می باشد که بررسی رجیستری را بسیار مشکل می کند. البته برنامه هایی برای بررسی رجیستری وجود دارند که به برنامه های مانیتورینگ رجیستری معروف هستند ولی باید اصول کار کردن با این برنامه ها را بلد بود و گرنه جز سردرگمی چیزی برای شما نخواهند داشت.

زئوس با استفاده از دو شاخه زیر در رجیستری و ساخت تعدادی کلید اقدام به لینک کردن ( آدرس دهی به فایل مخرب ) فایل های مخرب می کند تا در هنگام وقوع یک رویداد خاص ( مثلاً راه اندازی مجدد ویندوز ) فایل های مخرب دوباره فعالیت خود را شروع کنند :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit o

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

پیگیری FBI[ویرایش]

در اکتبر ۲۰۱۰ FBI اعلام کرد که هکرهای شرق اروپا با استفاده از این تروجان سیستم های کامپیوتری زیادی را در کل دنیا آلوده کرده اند. آنها این تروجان را از طریق سرورهای قدرتمند ارسال هرزنامه منتشر کرده و هدف خود را اطلاعات شخصی و تجاری قرار داده اند. FBI نیز توصیه کرد لینک های مشکوک را به هیچ وجه باز نکنید.

FBI همچنین اعلام کرد که هکرها پس از بدست آوردن اطلاعات شخصی و تجاری شما ، بدون هیچ گونه مشکلی به حساب بانکی شما رفته و موجودی حساب شما را تخلیه می کنند. توجه داشته باشید که هکرها احمق نیستند و خودشان به صورت مستقیم اقدام به برداشت از حساب دیگران نمی‌کنند. در واقع آنها اربابان بات نت خود هستند. با استفاده از همان بات نت، بات ها را مجبور می کنند که از حساب شخص دیگری برداشت کرده و به حساب اربابان خود در شرق اروپا واریز کنند. البته در اینجا بات بیچاره روحش هم از این موضوع خبر ندارد و اگر هم مشکلی پیش بیاید، پلیس ، بات را مقصر می داند. البته اگر باز هم هکر اصلی را شناسایی کنند، دستشتان از وی کوتاه است. چرا که آنها در شرق اروپا هستند و FBI در آمریکا و پلیس بین‌الملل نیز تا هکر را پیدا کند مدت زمان زیادی طول خواهد کشید.

منابع[ویرایش]

صفحه انگلیسی زئوس (اسب تروآ) در ویکی‌پدیای انگلیسی