Создатели одной из версий Zeus перехитрили сами себя в попытках обойти
антивирусы, выпустив версию вируса, который заражает только
высокопроизводительные PC.
Фирмы безопасности используют технологии виртуализации и автоматизации для
того, чтобы справиться с постоянно
растущим объемом
вредоносных программ, ежедневно выпускаемых кибермошенниками. Вирусописатели
хорошо об этом осведомлены и используют в своих разработках обнаружение
виртуальных машин и коды, препятствующие отладке. Такая тактика рассчитана на
то, чтобы запутать специалистов безопасности и увеличить время на реверсинг, а
также разработку и распространения антивирусного обновления.
Те, кто используют ZeuS, в большой степени вовлечены в игру в кошки-мышки
между исследователями в области безопасности и киберперступниками.
Но одна группа выпустила вариант ПО с настолько огромными антиотладочными
мерами, что оно предполагает, что любая машина, процессор которой работает на
частоте меньшей чем 2 ГГц, использует как дебаггер. В результате вредоносное ПО
заражает только быстродействующие компьютеры, оставаясь неактивированным на
слабых PC.
Тимо Хирвонен, аналитик F-secure, объяснил: "При частоте CPU меньшей 2 ГГц
вирус ведет себя так, как будто он находится в отладчике, т.е он отменяет
исполнение и не заражает систему. Я протестировал его на ноутбуке IBM T42 (1.86
ГГц) и система оказалась достаточно медлительна, чтобы не заразиться".
Эта версия Zeus заражает только высокопроизводительные машины, что могло бы
быть полезно для мощнейшего ботнета для взлома кодов. Однако обычно различные
версии Zeus используются для захвата банковских данных, а для этих целей
описываемая версия просто бесполезна.
Детальное объяснение версии вируса, заражающего высокопроизводительные
машины, можно найти в
блоге F-Secure.
