زئوس (اسب تروآ)

زئوس تروجان (یا تروجان Zbot)، یکی از قدیمی‌ترین خانواده بدافزارهای مالی در جهان است که همچنان به حیات خود ادامه می‌دهد. هدف اصلی از فعالیت آن، سرقت و کلاه‌برداری از بانک‌ها است و در عین حال می‌تواند انواع مختلف اطلاعات شخصی را نیز به سرقت ببرد. لازم است ذکر شود که Zeus، این روزها توسط خالق اولیه خود توسعه نمی‌یابد.
طبق اعلام شرکت امنیتی Prevx در سال ۲۰۰۹، تروجان زئوس بیش از ۷۴۰۰۰ اکانت را در سایت‌های مختلف به خطر انداخته بود. تعدادی از این سایت‌ها عبارتند از:

1. وب‌سایت بانک آمریکا
2. وب‌سایت سازمان فضایی ناسا
3. وب‌سایت کاریابی Monster
4. وب‌سایت شبکه رادیویی و تلویزیونی ABC
5. وب‌سایت شرکت اوراکل، بزرگ‌ترین سازنده برنامه‌های دیتابیس
6. وب‌سایت شرکت سیسکو سیستمز، بزرگ‌ترین سازنده سخت‌افزار و نرم‌افزارهای شبکه‌ای در دنیا
7. وب‌سایت آمازون
8. وب‌سایت مجله BusinessWeek

شبکه‌ای از سیستم‌های آلوده شده که بات نت نامیده می‌شوند، توسط این بدافزار گردآوری شده‌اند که فقط ایالات متحده آمریکا سه میلیون و ششصد هزار بات دارد که این آمار همچنان در حال افزایش است.

در ۲۸ اکتبر سال ۲۰۰۹ میلادی، این تروجان حدود یک و نیم میلیون پیام جعلی فیشینگ را به اکانت‌های موجود در سایت فیس بوک ارسال کرد.

در تاریخ ۳ نوامبر ۲۰۰۹ نیز یک زوج بریتانیایی به دلیل استفاده از تروجان زئوس (طبق اعترافات خودشان) دستگیر شدند.

به‌طور کلی این تروجان در سال ۲۰۰۹، حدود ۹ میلیون اسپم ارسال کرد. اما هنوز در سال ۲۰۱۰ نیز این بدافزار به فعالیت خود ادامه می‌دهد.

در تاریخ ۱۴ ژوئیه ۲۰۱۰، شرکت امنیتی Trusteer گزارش داد که کارت‌های اعتباری بیش از ۱۵ بانک آمریکایی در معرض خطر حمله این بدافزار قرار دارند. لازم است ذکر شود که این شرکت هیچ نامی از این بانک‌ها نبرد.

پس از گذشت حدوداً سه ماه از این گزارش، FBI (پلیس فدرال آمریکا) اعلام کرد مدارکی از وجود یک شبکه بزرگ جرائم اینترنتی حکایت می‌کند. این شبکه با استفاده از تروجان زئوس به سیستم‌های کامپیوتری کشور آمریکا نفوذ کرده و تا به حال مبلغی در حدود ۷۰ میلیون دلار سرقت کرده‌است.
تاکنون بیش از ۱۰۰ نفر از افرادی که از این تروجان استفاده کرده‌اند دستگیر شدند که ۹۰ نفر از آن‌ها آمریکایی و بقیه انگلیسی و اوکراینی بوده‌اند.

گسترش[ویرایش]

تروجان زئوس کامپیوترهای بیش از ۱۹۶ کشور دنیا را به تسخیر خود درآورده است. پنج کشوری که بیشترین آمار آلودگی‌ها از آن‌ها گزارش شده‌است، عبارتند از:

1. مصر
2. آمریکا
3. مکزیک
4. عربستان سعودی
5. ترکیه

در مجموع بیش از ۲۴۰۰ کمپانی و سازمان در اثر حملات این تروجان آلوده شده‌اند.

سیستم عامل هدف[ویرایش]

سیستم عامل مایکروسافت ویندوز هدف اصلی این بدافزار است. تاکنون نسخه‌ای از این بدافزار دیده نشده‌است که سیستم عامل‌های دیگری را آلوده کند.
لازم است ذکر شود که این تروجان در درجه اول سعی در نفوذ به سیستم‌های کامپیوتری شرکت‌ها، بانک‌ها و زیرساخت‌های دولتی را دارد؛ اما کاربران خانگی نیز می‌توانند طعمه خوبی برای این تروجان باشند.

اطلاعات هدف[ویرایش]

زئوس اطلاعات مربوط به اکانت‌های شما در شبکه‌های اجتماعی، سرویس‌های پست الکترونیک و موسسات مالی مثل بانک‌ها را هدف قرار می‌دهد.
طبق گزارشی که مؤسسه امنیتی Netwitness منتشر کرده‌است، وب‌سایت‌های زیر بیشترین آمار ربوده شدن اطلاعات اکانت کاربرانشان را دارا هستند: فیس بوک، یاهو،Hi5، Metroflag,Sonico ,Netlog

تشخیص و پاکسازی[ویرایش]

حتی اگر یک آنتی‌ویروس خوب نیز روی سیستم شما نصب باشد، پیدا کردن زئوس بسیار مشکل است. شاید این اولین و بهترین دلیل باشد که چرا این خانواده از بدافزارها بزرگ‌ترین بات نت سراسر اینترنت را تشکیل می‌دهند. همان‌طور که اشاره شد، کشور ایالات متحده آمریکا به تنهایی سه میلیون و ششصد هزار سیستم آلوده به این تروجان را دارد. البته این مورد توجیه خوبی برای آپدیت نکردن آنتی‌ویروس‌تان نیست و شما باید همیشه آنتی‌ویروس خود را به روز نگه دارید.

همیشه می‌گویند پیشگیری بهتر از درمان است. این مورد را کارشناسان دنیای امنیت نیز تأیید می‌کنند. همچنین برای Zeus نیز این مورد تجویز شده‌است. اگر در شبکه‌های اجتماعی یا پست الکترونیک برای شما لینک جذابی ارسال شد، آن را باز نکنید. اگر دیدید که این پیام (در شبکه اجتماعی) یا ایمیل از طرف دوستتان هست، حتماً قبل از باز کردن لینک، از دوست خود بپرسید که آیا او این لینک را برایتان فرستاده‌است یا خیر؟ زیرا ممکن است زئوس به اکانت دوست شما نفوذ کرده و از طریق لیست دوستان و آشنایان، لینک‌های مخرب خود را برای شما ارسال کرده باشد. پس هر لینکی را که دیدید سریعاً آن را باز نکنید و کمی قبل از کلیک کردن تأمل کنید.

در ۲۷ آگوست ۲۰۱۰، شرکت امنیتی کسپرسکی در وب‌سایت خود مقاله‌ای را به منظور آموزش روش‌های مقابله با این تروجان منتشر کرد که در ادامه قسمت‌های مهم و قابل ذکر این مقاله را می‌خوانیم:

این تروجان از تکنیک مخفی‌سازی به روش روتکیت‌ها (Rootkit) بهره می‌برد تا در نهایت بتوانید فایل‌های اجرایی و پردازش خود را از دید کاربر مخفی نگه دارد. بدافزارهای خانواده این تروجان (Win32.Zbot) معمولاً از طریق مشاهده کردن صفحات اینترنتی آلوده به داخل کامپیوتر شما نفوذ می‌کنند. البته شما می‌توانید با استفاده از یک آنتی‌ویروس آپدیت شده (به صورت منظم) از تغییراتی که این بدافزار در سیستم شما ایجاد می‌کند آگاه شوید.

اگر شما نمی‌توانید از هیچ آنتی‌ویروسی روی کامپیوتر خود استفاده کنید، بنابراین باید از برنامه Zbotkiller استفاده کنید. لازم است ذکر شود که قبل از انجام هرگونه عملیات بانکی، کامپیوتر خود را با استفاده از این برنامه اسکن کنید تا مانع از وارد آمدن هرگونه زیان مالی به خود شوید.

در ادامه مهم‌ترین علائم مربوط به این تروجان را به شما نشان خواهیم داد:

ممکن است که یک یا چندین مورد از فایل‌های زیر در پوشه‌های system32 و AppData وجود داشته باشند:

1. ntos.exe
2. twex.exe
3. tewxt.exe
4. oembios.exe
5. sdra64.exe
6. lowsec\\local.ds
7. lowsec\\user.ds

بیشتر تروجان‌ها رجیستری را یکی از امن‌ترین مکان‌ها برای خود می‌دانند. شاید یکی از دلایل این باشد که رجیستری بسیار گسترده بوده و پر از مسیرهای پیچ در پیچ و شاخه‌ای است و همچنین پر از کلیدهایی با نام‌های اختصاری می‌باشد که بررسی رجیستری را بسیار مشکل می‌کند. البته برنامه‌هایی برای بررسی رجیستری وجود دارند که به برنامه‌های مانیتورینگ رجیستری معروف هستند، ولی باید اصول کار کردن با این برنامه‌ها را بلد بود وگرنه جز سردرگمی چیزی برای شما نخواهند داشت.

زئوس با استفاده از دو شاخه زیر در رجیستری و ساخت تعدادی کلید، اقدام به لینک کردن (آدرس‌دهی به فایل مخرب) فایل‌های مخرب می‌کند تا در هنگام وقوع یک رویداد خاص (مثلاً راه‌اندازی مجدد ویندوز) فایل‌های مخرب دوباره فعالیت خود را شروع کنند:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit o

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

پیگیری FBI[ویرایش]

در اکتبر ۲۰۱۰، FBI اعلام کرد که هکرهای شرق اروپا با استفاده از این تروجان، سیستم‌های کامپیوتری زیادی را در کل دنیا آلوده کرده‌اند. آن‌ها این تروجان را از طریق سرورهای قدرتمند ارسال هرزنامه منتشر کرده و هدف خود را اطلاعات شخصی و تجاری قرار داده‌اند. FBI نیز توصیه کرد لینک‌های مشکوک را به هیچ وجه باز نکنید.

FBI همچنین اعلام کرد که هکرها پس از به دست آوردن اطلاعات شخصی و تجاری شما، بدون هیچ گونه مشکلی به حساب بانکی شما رفته و موجودی حساب شما را تخلیه می‌کنند. توجه داشته باشید که هکرها احمق نیستند و خودشان به صورت مستقیم اقدام به برداشت از حساب دیگران نمی‌کنند. در واقع آن‌ها اربابان بات نت خود هستند. با استفاده از همان بات نت، بات‌ها را مجبور می‌کنند که از حساب شخص دیگری برداشت کرده و به حساب اربابان خود در شرق اروپا واریز کنند. البته در اینجا بات بیچاره روحش هم از این موضوع خبر ندارد و اگر هم مشکلی پیش بیاید، پلیس، بات را مقصر می‌داند. البته اگر باز هم هکر اصلی را شناسایی کنند، دستشان از وی کوتاه است. چرا که آن‌ها در شرق اروپا هستند و FBI در آمریکا و پلیس بین‌الملل نیز تا هکر را پیدا کند مدت زمان زیادی طول خواهد کشید. یکی از افرادی که در این پیگیری تحت تعقیب بود، شخصی ایرانی با نام مستعار تایلر بود که بعدها این شخص خود را با سند و مدرک تبرئه نمود و نام خود را فاش کرد (احسان تیموری) ساکن شرق تهران در محله نارمک.

منابع[ویرایش]

صفحه انگلیسی زئوس (اسب تروآ) در ویکی‌پدیای انگلیسی