Исследователи безопасности из компании Trusteer заявляют, что хотя Microsoft
и расширил свою MSRT (Malicious Software Removal Tool) новыми возможностями
защиты, чтобы помочь организациям бороться с печально известным, ворующем
информацию
трояном под названием Zeus, утилита, однако, не смогла определить последнюю
версию вируса.
Zeus ворует банковские данные за счет сканирования нажатия клавиш
пользователем и распространяется в основном с помощью фишинговых атак и скрытых
закачек. Будучи впервые обнаруженным в июле 2007 года, троян до сих пор заражает
персональные компьютеры.
Главной задачей компании было понять, насколько эффективно утилита находит и
уничтожает Zeus, для чего были проведены тесты MSRT на большом количестве
зараженных файлов. В результате, выяснилось, что она находит Zeus 2.0 в 46%
случаев; однако, не способна обнаружить последнюю версию трояна 2.1.
По словам Symantec, учитывая распространение вируса, у Zeus большое
преимущество над MRST. MRST не работает в режиме реального времени и не
выполняет фоновых проверок на вирусы, поэтому хакеры пользуются разницей во
времени между заражением и очередной проверкой, чтобы снять деньги с банковского
счета жертвы.
Отмечая эти особенности Zeus, генеральный директр Trusteer заявил, что в
основном кража денег происходит в течении дней или даже часов после заражения
компьютера вирусом, поскольку украденная информация сразу же отправляется
кибер-преступникам.
Он так же добавил, что у преступников есть "удобный момент" в интервале между
заражением ПК Zeusом и последующим сканированием MSRT для перекачки денег с
банковского счета жертвы. Согласно генеральному директору, жулики действуют
очень быстро: сразу после заражения они анализировали ПК пользователя, и к
следующему посещению им банковского счета дело уже бывает сделано.
В конечном счете, согласно Trusteer, между скудными попытками индустрии
защиты информации и активностью разработчиков Zeus целая пропасть. На взгляд
компании, оружие Microsoft против Zeus выбрано неверно. Вместе с дальнейшим
улучшением системы работы в целом, утилита должна поддерживать независимые от
подписи решения в реальном времени.
