Новый вариант известного банковского трояна Zeus/Zbot под названием ZeusVM использует технику стеганографии, чтобы скрыть свои рабочие файлы и избежать автоматического обнаружения. В качестве контейнера для сокрытия выбран формат JPEG.
Если загрузить «зараженную» картинку в поиск картинок Google, то можно найти в интернете оригинал с такими же длиной и шириной, но меньшего размера. Остается сравнить оригинальное и модифицированное изображение, чтобы заметить разницу.
Затем в hex-редакторе выделяем «лишние» байты.
Для расшифровки данных придется воспользоваться дебаггером вроде OllyDbg. Как выясняется, код зашифрован в Base64, после чего по нему прошлись с помощью RC4 и XOR. Дебаггер позволяет вернуть код к исходному виду и увидеть список банков и финансовых организаций, против клиентов которых ZeusVM осуществляет атаку типа MiTM. Скажем, троян подменяет определенные веб-элементы при осуществлении платежей через интернет-банк после того, как пользователь осуществит авторизацию со своего компьютера.
Это уже не первый раз, когда злоумышленники используют стеганографию и прячут информацию в графических изображениях. Так, недавно антивирусная компания Sucuri приводила пример, как зловред хранит вредоносную нагрузку в метаданных файла PNG.
