Pojawiły się informacje o “powrocie” złośliwego oprogramowania ZBOT. Media od jakiegoś czasu przekazywały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A jak się okazuje teraz pojawiła się zupełnie nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.

Na uwagę zasługuje fakt, niecodziennego zachowania ZBOT-a. Ta nowa odmiana ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Użytkownik po otwarciu pliku w programie Adobe Reader, uruchamia procedurę, w wyniku której na ekranie wyświetla się okienko pop-up. Wówczas to złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i uruchamia się. Istnieje kilka dość istotnych różnić w porównaniu do poprzedniej wersji tego oprogramowania:

– Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: posiada umiejętność pobierania i uruchamiania zaktualizowanej kopii samego siebie.

– Po drugie, potrafi rozprzestrzeniać się na inne systemy za pośrednictwem przenośnych pamięci, np. pendrive’ów. Wyszukuje dyski wymienne, a następnie tworzy w nich ukryty katalog z kopią jak również skrót odsyłający do ZBOT-a.

ZBOT wędrował zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Zdolność do samodzielnego rozpowszechniania w przypadku tego programu zaskakuje. Prawdopodobnie możemy się spodziewać dalszego wzrostu liczby systemów zarażonych tym oprogramowaniem. Oczywiście samo zjawisko automatycznej aktualizacji czy wykorzystywania dysków wymiennych do rozpowszechniania złośliwych programów nie jest nową czy innowacyjną cechą, wiele złośliwych programów już wcześniej korzystało z tych funkcji. (np Conficker/DOWNAD, używał obu tych strategii bardzo skutecznie, do dziś pozostaje dużym zagrożeniem). Jednakże tego rodzaju przykłady, kiedy to “stare” złośliwe oprogramowanie ukazuje się w nowej odsłonie pokazują, w jaki sposób zmienia się obszar oprogramowania służącego cyberprzestępcom.

Źródło: Trend Mikro