زئوس (اسب تروآ)
زئوس تروجان (یا تروجان Zbot)، یکی از قدیمیترین خانواده بدافزارهای مالی در جهان است که همچنان به حیات خود ادامه میدهد.
هدف اصلی از فعالیت آن، سرقت و کلاهبرداری از بانکها است و در عین حال میتواند انواع مختلف اطلاعات شخصی را نیز به سرقت ببرد.
لازم به ذکر است که Zeus، این روزها توسط خالق اولیه خود توسعه نمییابد.
طبق اعلام شرکت امنیتی Prevx در سال ۲۰۰۹، تروجان زئوس بیش از ۷۴۰۰۰ اکانت را در سایتهای مختلف به خطر انداخته بود. تعدادی از این سایتها عبارتند از:
- وبسایت بانک آمریکا
- وبسایت سازمان فضایی ناسا
- وبسایت کاریابی Monster
- وبسایت شبکه رادیویی و تلویزیونی ABC
- وبسایت شرکت اوراکل، بزرگترین سازنده برنامههای دیتابیس
- وبسایت شرکت سیسکو سیستمز، بزرگترین سازنده سخت افزار و نرمافزارهای شبکهای در دنیا
- وبسایت آمازون
- وبسایت مجله BusinessWeek
شبکهای از سیستمهای آلوده شده که بات نت نامیده میشوند، توسط این بدافزار گردآوری شدهاند که فقط ایالات متحده آمریکا سه میلیون و ششصد هزار بات دارد که این آمار همچنان در حال افزایش است.
در ۲۸ اکتبر سال ۲۰۰۹ میلادی، این تروجان حدود یک و نیم میلیون پیام جعلی فیشینگ را به اکانتهای موجود در سایت فیس بوک ارسال کرد.
در تاریخ ۳ نوامبر ۲۰۰۹ نیز یک زوج بریتانیایی به دلیل استفاده از تروجان زئوس ( طبق اعترافات خودشان ) دستگیر شدند.
بهطور کلی این تروجان در سال ۲۰۰۹، حدود ۹ میلیون اسپم ارسال کرد. اما هنوز در سال ۲۰۱۰ نیز این بدافزار به فعالیت خود ادامه میدهد.
در تاریخ ۱۴ ژوئیه ۲۰۱۰، شرکت امنیتی Trusteer گزارش داد که کارتهای اعتباری بیش از ۱۵ بانک آمریکایی در معرض خطر حمله این بدافزار قرار دارند. لازم به ذکر است که این شرکت هیچ نامی از این بانکها نبرد.
پس از گذشت حدوداً سه ماه از این گزارش، FBI (پلیس فدرال آمریکا) اعلام کرد مدارکی از وجود یک شبکه بزرگ جرائم اینترنتی حکایت میکند. این شبکه با استفاده از تروجان زئوس به سیستمهای کامپیوتری کشور آمریکا نفوذ کرده و تا به حال مبلغی در حدود ۷۰ میلیون دلار سرقت کردهاست.
تاکنون بیش از ۱۰۰ نفر از افرادی که از این تروجان استفاده کردهاند دستگیر شدند که ۹۰ نفر از آنها آمریکایی و بقیه انگلیسی و اوکراینی بودهاند.
گسترش
تروجان زئوس کامپیوترهای بیش از ۱۹۶ کشور دنیا را به تسخیر خود در آورده است. پنج کشوری که بیشترین آمار آلودگیها از آنها گزارش شدهاست، عبارتند از:
- مصر
- آمریکا
- مکزیک
- عربستان سعودی
- ترکیه
در مجموع بیش از ۲۴۰۰ کمپانی و سازمان در اثر حملات این تروجان آلوده شدهاند.
سیستم عامل هدف
سیستم عامل مایکروسافت ویندوز هدف اصلی این بدافزار است. تاکنون نسخهای از این بدافزار دیده نشده است که سیستم عاملهای دیگری را آلوده کند.
لازم به ذکر است که این تروجان در درجه اول سعی در نفوذ به سیستمهای کامپیوتری شرکتها، بانکها و زیرساختهای دولتی را دارد؛ اما کاربران خانگی نیز میتوانند طعمه خوبی برای این تروجان باشند.
اطلاعات هدف
زئوس اطلاعات مربوط به اکانتهای شما در شبکههای اجتماعی، سرویسهای پست الکترونیک و موسسات مالی مثل بانکها را هدف قرار میدهد.
طبق گزارشی که مؤسسه امنیتی Netwitness منتشر کردهاست، وبسایتهای زیر بیشترین آمار ربوده شدن اطلاعات اکانت کاربرانشان را دارا هستند: فیس بوک، یاهو،Hi5 ، Metroflag،Sonico ،Netlog
تشخیص و پاکسازی
حتی اگر یک آنتی ویروس خوب نیز روی سیستم شما نصب باشد، پیدا کردن زئوس بسیار مشکل است. شاید این اولین و بهترین دلیل باشد که چرا این خانواده از بدافزارها بزرگترین بات نت سراسر اینترنت را تشکیل میدهند. همانطور که اشاره شد، کشور ایالات متحده آمریکا به تنهایی سه میلیون و ششصد هزار سیستم آلوده به این تروجان را دارد. البته این مورد توجیه خوبی برای آپدیت نکردن آنتی ویروستان نیست و شما باید همیشه آنتی ویروس خود را به روز نگه دارید.
همیشه میگویند پیشگیری بهتر از درمان است. این مورد را کارشناسان دنیای امنیت نیز تأیید میکنند. همچنین برای Zeus نیز این مورد تجویز شدهاست. اگر در شبکههای اجتماعی یا پست الکترونیک برای شما لینک جذابی ارسال شد، آن را باز نکنید. اگر دیدید که این پیام ( در شبکه اجتماعی ) یا ایمیل از طرف دوستتان هست، حتماً قبل از باز کردن لینک، از دوست خود بپرسید که آیا او این لینک را برایتان فرستاده است یا خیر؟ زیرا ممکن است زئوس به اکانت دوست شما نفوذ کرده و از طریق لیست دوستان و آشنایان، لینکهای مخرب خود را برای شما ارسال کرده باشد. پس هر لینکی را که دیدید سریعاً آن را باز نکنید و کمی قبل از کلیک کردن تامل کنید.
در ۲۷ آگوست ۲۰۱۰، شرکت امنیتی کسپرسکی در وبسایت خود مقالهای را به منظور آموزش روشهای مقابله با این تروجان منتشر کرد که در ادامه قسمتهای مهم و قابل ذکر این مقاله را میخوانیم:
این تروجان از تکنیک مخفیسازی به روش روتکیتها (Rootkit) بهره میبرد تا در نهایت بتوانید فایلهای اجرایی و پردازش خود را از دید کاربر مخفی نگه دارد. بدافزارهای خانواده این تروجان (Win32.Zbot) معمولاً از طریق مشاهده کردن صفحات اینترنتی آلوده به داخل کامپیوتر شما نفوذ میکنند. البته شما میتوانید با استفاده از یک آنتی ویروس آپدیت شده (به صورت منظم) از تغییراتی که این بدافزار در سیستم شما ایجاد میکند آگاه شوید.
اگر شما نمیتوانید از هیچ آنتی ویروسی روی کامپیوتر خود استفاده کنید، بنابراین باید از برنامه Zbotkiller استفاده کنید. لازم به ذکر است که قبل از انجام هرگونه عملیات بانکی، کامپیوتر خود را با استفاده از این برنامه اسکن کنید تا مانع از وارد آمدن هرگونه زیان مالی به خود شوید.
در ادامه مهمترین علائم مربوط به این تروجان را به شما نشان خواهیم داد:
ممکن است که یک یا چندین مورد از فایلهای زیر در پوشههای system32 و AppData وجود داشته باشند:
- ntos.exe
- twex.exe
- tewxt.exe
- oembios.exe
- sdra64.exe
- lowsec\\local.ds
- lowsec\\user.ds
بیشتر تروجانها رجیستری را یکی از امنترین مکانها برای خود میدانند. شاید یکی از دلایل این باشد که رجیستری بسیار گسترده بوده و پر از مسیرهای پیچ در پیچ و شاخهای است و همچنین پر از کلیدهایی با نامهای اختصاری میباشد که بررسی رجیستری را بسیار مشکل میکند. البته برنامههایی برای بررسی رجیستری وجود دارند که به برنامههای مانیتورینگ رجیستری معروف هستند، ولی باید اصول کار کردن با این برنامهها را بلد بود وگرنه جز سردرگمی چیزی برای شما نخواهند داشت.
زئوس با استفاده از دو شاخه زیر در رجیستری و ساخت تعدادی کلید، اقدام به لینک کردن (آدرسدهی به فایل مخرب) فایلهای مخرب میکند تا در هنگام وقوع یک رویداد خاص (مثلاً راهاندازی مجدد ویندوز) فایلهای مخرب دوباره فعالیت خود را شروع کنند:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit o
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
پیگیری FBI
در اکتبر ۲۰۱۰، FBI اعلام کرد که هکرهای شرق اروپا با استفاده از این تروجان، سیستمهای کامپیوتری زیادی را در کل دنیا آلوده کردهاند. آنها این تروجان را از طریق سرورهای قدرتمند ارسال هرزنامه منتشر کرده و هدف خود را اطلاعات شخصی و تجاری قرار دادهاند. FBI نیز توصیه کرد لینکهای مشکوک را به هیچ وجه باز نکنید.
FBI همچنین اعلام کرد که هکرها پس از به دست آوردن اطلاعات شخصی و تجاری شما، بدون هیچ گونه مشکلی به حساب بانکی شما رفته و موجودی حساب شما را تخلیه میکنند. توجه داشته باشید که هکرها احمق نیستند و خودشان به صورت مستقیم اقدام به برداشت از حساب دیگران نمیکنند. در واقع آنها اربابان بات نت خود هستند. با استفاده از همان بات نت، باتها را مجبور میکنند که از حساب شخص دیگری برداشت کرده و به حساب اربابان خود در شرق اروپا واریز کنند. البته در اینجا بات بیچاره روحش هم از این موضوع خبر ندارد و اگر هم مشکلی پیش بیاید، پلیس، بات را مقصر میداند. البته اگر باز هم هکر اصلی را شناسایی کنند، دستشان از وی کوتاه است. چرا که آنها در شرق اروپا هستند و FBI در آمریکا و پلیس بینالملل نیز تا هکر را پیدا کند مدت زمان زیادی طول خواهد کشید. یکی از افرادی که در این پیگیری تحت تعقیب بود، شخصی ایرانی با نام مستعار تایلر بود که بعدها این شخص خود را با سند و مدرک تبرئه نمود و نام خود را فاش کرد (احسان تیموری) ساکن شرق تهران در محله نارمک.