Несмотря на то, что эксперты по компьютерной безопасности довольно давно знают о черве Zeus (разработчика которого так и не нашли пока) и одноименном ботнете (владельцев которого недавно таки смогли найти, об этом писали на Хабре), вирус все равно продолжает заражать пользовательские компьютеры, расширяя масштабы ботнета. На днях представители компании F-Secure обнаружили премиум-версию, если так можно выразиться, червя Zeus, которая начинает работать только на мощных ПК.
Эксперты, которые обнаружили эту версию Zeus, утверждают, что ранее не сталкивались с вредоносным обеспечением, для которого были выставлены лимиты по скорости работы компьютера. Другими словами, на не особо мощных машинах вирус попросту не будет работать. Для тестирования найденного вируса специалисты компании F-Secure использовали виртуальные машины, виртуальную конфигурацию которых можно менять без проблем. Так и была обнаружена странность в поведении вируса — он не работал на «слабых» конфигурациях.
Эксперты выяснили, что данная версия червя начинает работать только тогда, когда частота процессора составляет 2 и более гигагерца. На менее мощных ПК, ноутбуках и нетбуках вирус работать отказывается. Вместо этого премиум-Zeus начинает работать в режиме дебаггера, не выполняя практически никаких инструкций и не инфицируя систему. Эксперты проверяли работу вируса на различных машинах, и только на мощных ПК данный вирус начал «работать».
Пока что борцы с вирусами не могут ответить прямо на вопрос, для чег�� была создана настолько избирательная версия вируса. Некоторые специалисты предполагают, что экзотическая версия Zeus позволяет формировать быстрые ботнеты больших мощностей, которые хакеры могут использовать для взлома паролей и для других целей, где необходима, прежде всего, мошность.
В общем, интересная складывается картина — хакеры уже начинают формировать, по всей видимости, особые ботнеты для использования в своих целях. Ранее, говорят эксперты, ценились ботнеты с максимальным количеством «зомби», зараженных ПК. Теперь, по-видимому, хакеры используют и другие критерии при формировании новых ботнетов.
Via f-secure
