- Ade 隨手札記
-
- 訂閱
-
訂閱此網誌
- 分類
- Security News (11)
- 碩班課程 (6)
- 統計資訊
到訪次數 1099047 訂閱次數 1 文章總數 1476 今日文章 0 回應總數 4 今日回應 0
- 我教的課
- 我修的課
- 逐月回顧
- 2011-11 (30)
- 2011-10 (62)
- 2011-09 (43)
- 2011-08 (46)
- 2011-07 (56)
- 2011-06 (52)
- 2011-05 (45)
- 2011-04 (62)
- 2011-03 (61)
- 2011-02 (31)
- 2011-01 (50)
- 2010-12 (63)
- 2010-11 (62)
- 2010-10 (48)
- 2010-09 (57)
- 2010-08 (58)
- 2010-07 (55)
- 2010-06 (58)
- 2010-05 (57)
- 2010-04 (29)
- 2010-03 (32)
- 2010-02 (33)
- 2010-01 (54)
- 2009-12 (58)
- 2009-11 (42)
- 2009-10 (23)
- 2009-09 (23)
- 2009-08 (35)
- 2009-07 (9)
- 2009-06 (4)
- 2009-05 (5)
- 2009-04 (20)
- 2009-03 (18)
- 2009-02 (8)
- 2009-01 (5)
- 2008-12 (17)
- 2008-11 (8)
- 2008-10 (8)
- 2008-09 (8)
- 2008-08 (10)
- 2008-07 (6)
- 2008-06 (6)
- 2008-05 (7)
- 2008-04 (8)
- 2008-03 (3)
- 2006-09 (1)
- 最新回應
- [C#.NET][VB.NET] ???? TextBox / ComboBox ?????? jolvecelo 2013-03-11 10:25:20
- [C#.NET][VB.NET] ???? TextBox / ComboBox ?????? jolvecelo 2013-03-10 13:23:37
- [C#.NET][VB.NET] ???? TextBox / ComboBox ?????? IntetsUndenna 2013-03-09 09:39:05
- Zeus 2.0.8.9 版與幽靈版控制台 root 2012-08-16 22:11:07
- ???????Backdoor.Prosti?????? SamAtterm 2011-05-18 21:03:09
- 最高人氣
- SQL 資料型態比較 (7128)
- 不需漏洞與病毒 PDF也可散播惡意程式 (6946)
- 以jsp解決資料庫編碼問題 (6828)
- MySQL查詢速度測試 (6686)
- 什麼是雲端運算? 跟你我生活有何關係?(Q 版張明正為你解說) (6679)
- 中國蘇珊大嬸尚未催生,”中國達人秀”電子信箱遭入侵 (6578)
- 利用transaction造成死結 (6487)
- MySQL操作說明 (6162)
- Oracle安裝說明 (5837)
- [C#]NPOI匯出Excel遇到資料換行的問題 (720)
- 時鐘
-
- 原文連結:http://domynews.blog.ithome.com.tw/post/1252/91033 在 Zeus 的作者
Monstr/Slavik 將 Zeus 的原始碼移交給 SpyEye
的作者 Harderman/Gribodemon 之前,Zeus 的最後一個版本為 2.0.8.9。過去二年來橫掃全球的 ZeuS 惡意程式,可說是資安威脅領域最熱門的惡意程式工具套件。也因此,ZeuS
在 2010 年曾出現多次改版,也就不令人意外:
2.0.8.0 系列的最後一個版本是 2.0.8.9:此版本目前仍有多個經銷者在地下犯罪網路上販售。就其主程式 ZeuS Builder 來看,這一版與前面幾版似乎沒有明顯差異。
差別只在於所產生的 ZeuS 二進位檔案內的感染程式碼。其中較重大的改變有:
· 幾乎支援所有 Windows 版本 (XP/Vista/Seven/Server 2003/Server 2003 R2/Server 2008/Server 2008 R2)
· 支援 64 位元 Windows 版本 (不過只支援 32 執行程序)
· 即使系統上的使用者帳戶控制 (UAC) 功能開啟,或是使用者的權限很低 (如 Guest 來賓帳號),也不影響運作
· 可感染多個使用者工作階段 (當 Bot 程式以 LocalSystem 本機系統帳號執行時,它會嘗試感染系統上的所有使用者)
· 針對 Firefox 瀏覽器的感染模組
· Bot 保護 (獨特/隨機的物件名稱,例如檔名、mutex、系統登錄等等;不必重新開機即可自動更新)
此版本還可搭配反向 VNC (Virtual Network Computing) 一同銷售以提高價格,後者可讓使用者在感染電腦上開啟一個隱藏的遠端桌面連線。
此外,2.0.8.9 版的控制台大部分都沒有任何改變,除了幕後操控 (C&C) 功能的相容性需要透過技術更新之外。不過,我們在地下市場上倒是看過一個版本採用的是修改過的控制台,稱為「幽靈版」(Ghost) 控制台。
幽靈版控制台
原始的 ZeuS 工具套件雖然不包含這個控制台,但它提供了一些獨特的功能對使用 ZeuS 的歹徒來說非常方便。
瘦身版 PHP 程序碼
請注意,這個網頁式控制台是所謂的「Stripped」版本 (瘦身版)。這表示,該網頁式控制台的 PHP 程序碼 (script) 已經過最佳化,因此檔案更小。由於程序碼更小,因此,當這些網頁式控制台程序碼在上傳至網頁代管主機時可以更有效率。
無垃圾報表
這個選項會過濾資料庫所保存的資訊類型。一些所謂的非財務資訊就不會保存,例如社交網站帳號密碼。這樣可以確保竊取資訊的資料庫不會爆滿,也不會包含一些歹徒覺得「不相干」的資訊。這項功能對於專門交易信用卡與銀行帳號資料的歹徒來說尤其實用。
動態組態設定
這項功能可讓組態設定檔案輕鬆更新,例如新的攻擊目標。攻擊者再也不需重新建立組態設定檔案並手動上傳;控制台可以自動幫使用者搞定。
不同的資料夾名稱與檔案名稱
為了安全起見,這個幽靈版的網頁式控制台使用了與原始 ZeuS 控制台不同的檔案和資料夾名稱。這樣一來,此控制台就能躲過一些自動化分析工具的偵測,甚至不讓一些已經熟悉 Zeus 網頁式控制台檔案和資料夾名稱的資安研究員發現。
Zeus 追蹤器反制
Zeus 追蹤器反制 (Anti-Zeus Tracker) 功能事實上只是經銷者和使用者可在 .htaccess 檔案中設定的一個程序檔 (script)。基本上,該程序檔就像一個經銷者和使用者輸入的黑名單,此名單用來列舉一些惡意程式監控網站的 IP 位址,例如:Zeus Tracker、Spamhaus 等等。它可以封鎖來自這些 IP 位址的通訊,因此,當這些監控網站嘗試連線到 ZeuS 的網頁式控制台時,就會收到 HTTP 錯誤。這項功能其實已經出現有一段時間,不算是幽靈版控制台的特殊功能。以下是這段程序碼的畫面抓圖:
最後這兩項特點 (不同的資料夾名稱與檔案名稱、Zeus 追蹤器反制) 據說可讓這套控制台變成「幽靈」,也就是無法追蹤,所以才會取這個名字。據說這個控制台並不穩定,但這點我們無法證實。此一特殊版本還有其他特點,例如:Joomla 假冒 (讓伺服器看來像一般的合法網站,還提供了一個假的 Joomla 登入頁面)、可以搭配免費的「無 ZeuS」代管主機、相容於所有瀏覽器版本 (包括行動裝置上的瀏覽器)。
這類工具讓網路犯罪變得輕而易舉,因為這些工具為歹徒提供了很大的方便性,而且不容易被資安研究人員追查,同時對受害者更具威脅性。當然,趨勢科技將盡所有可能遏止這類工具所帶來的攻擊,全力保護使用者。
@原文來源:
ZeuS 2.0.8.9 and the Ghost Panel 作者:Roland Dela Paz (威脅回應工程師)
@延伸閱讀:
繼假 Facebook 登入頁面後,殭屍病毒ZeuS鎖定美國陸軍銀行帳戶
歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2011即刻免費下載
- 檢舉不當內容
引用(0) 2011-04-01 07:25
- 回應與討論
- root <webshellross@gmail.com>
- 你好 我看了你的文章很不錯 但就是不懂的對zeus2.0.8.9的操作 請問下有木有幫助手冊 順便求下那個幽靈版的zeus
- 2012-08-16 22:11:07