خدایان دزدی اینترنتی . زئوس ، بدافزاری که بانک ها را هدف قرار میدهد

  • 1389/7/26
  • علیرضا
  • 19

شاید همیشه با شنیدن کلمات دزد و دزدی یادتان به یک انسان با لباس یکدست مشکی و نقابدار بیفتید که در حال بالا رفتن از دیوار مردم است . ولی در قرن بیست و یکم دیگر کسی ریسک نمیکند و از دیوار خانه مردم بالا نمیرود تا بعد از آن دچار پلیس و زندان شود . این روز ها هر انسانی میتوانید با استفاده از یک لپ تاپ کوچک به شبکه ها نفوذ کند ، بدافزار طراحی کرده و به جان مردم بیاندازد و یا اصلا یک بدافزار طراحی کند که جیب شما را هدف قرار دهد .

شاید با خود فکر کنید کسی که اینگونه بدافزارها را مینویسد انسان فوق العاده باهوشی است . شکی در این موضوع نیست . اینگونه افراد با دانش بالا در برنامه نویسی سیستم های کامپیوتری و شبکه ای گونه ای از بدافزارها را خلق کرده که هر کاری که میخواهند انجام میدهند .  از همه بدتر اینکه گونه ای از بدافزارها خود دارای سرورهایی هستند که دستورات و موارد مورد نیاز را از آنجا دریافت کرده و اقدام به آپدیت خود میکنند . یعنی اگر بدافزاری توسط آزمایشگاه شرکت های امنیتی شناسایی شود ، میتواند با دریافت اطلاعات مورد نیاز ، بخش هایی که باعث شناسایی اش شده اند را حذف کرده و اقدام به اضافه کردن بخش های جدیدتر کند تا مانع از شناسایی سری جدیدتر شود .

البته در این دوره و زمانه دیگر حتی نیازی نیست که حتما یک فوق تخصص سیستم های کامپیوتری و شبکه ای باشید تا بتوانید اقدام به طراحی بدافزار کنید . انواع و اقسام ویروس میکر ، تروجان میکر ، ورم میکر در اینترنت وجود دارند و شما میتوانید با فعال و یا غیر فعال کردن چند گزینه یک بدافزار سفارشی شده برای خودتان بسازید . البته نوع دیگری از بدافزار سازها نیز وجود دارند که از قدرت بسیار زیادتری برخوردار هستند ولی برای داشتن یکی از آنها باید در وبسایت هایی که به وبسایت های زیرزمینی مشهور هستند به جستجو بپردازید و پس از پیدا کردن محصول مورد علاقه خود با پرداخت چند صد تا چند هزار دلار اقدام به خریداری آنها کنید .

آن گونه از بدافزار سازها که در اینترنت به وفور و رایگان یافت میشوند بیشتر برای سرگرمی هستند تا مثلا دوست خود را اذیت کنید یا اینکه به دوست دختر خود ثابت کنید به خاطرش هر کاری میکنید . بدافزارهایی که اینگونه بدافزار سازها تولید میکنند معمولا شناسایی شده اند و فقط همان کاربردی که عرض کردم را دارند .

اما گروه بعدی که در 90 درصد موارد پولی هستند ، بیشتر برای مقاصد سودجویانه بکار گرفته میشوند . این گونه از بدافزارها میتوانند :

1- اطلاعات حیاتی یک ارگان را به خطر بیاندازند .

2- اقدام به باجگیری از شما کنند .

3- با ربودن اطلاعات مهم شما مثل اطلاعات حساب بانکی ، اقدام به خالی کردن حساب شما کنند .

معرفی :

تروجان جدید Zeus ( زئوس ) از خانواده Win32.Zbot موج جدیدی از حملات به سیستم های کامپیوتری را شروع کرده و شما را نیز ممکن است هدف حملات خود قرار دهد . اولین آثار این تروجان در ماه جولای سال 2007 میلادی توسط محققان امنیتی کشف شد .

گزارش ها :

طبق اعلام شرکت امنیتی Prevx در این زمان ( سال 2007 ) تروجان Zeus بیش از 74000 اکانت را در سایت های مختلف به خطر انداخته بود . تعدادی از این سایت ها عبارتنداز :

1- وبسایت بانک آمریکا .

2- وبسایت سازمان فضایی ناسا .

3- وبسایت کاریابی Monster .

4- وبسایت شبکه رادیویی و تلویزیونی ABC .

5- وبسایت شرکت اوراکل ، بزرگترین سازنده برنامه های دیتابیس .

6- وبسایت شرکت سیسکو سیستمز ، بزرگترین سازنده سخت افزار و نرم افزارهای شبکه ای در دنیا .

7- وبسایت آمازون .

8- وبسایت مجله BusinessWeek .

شبکه ای از سیستم های آلوده شده که Botnet ( بات نت ) نامیده میشوند توسط این بدافزار گردآوری شده اند که فقط در ایالات متحده آمریکا سه میلیون و ششصد هزار بات دارد ( بات یعنی همان سیستم های آلوده شده که تحت فرماندهی بدافزار قرار میگیرند . البته برخی اوقات به آنها زامبی نیز میگویند ) که این آمار همچنان در حال افزایش است .

در 28 اکتبر سال 2009 میلادی این تروجان حدود یک و نیم میلیون پیام جعلی ( Phishing ) را به اکانت های موجود در سایت Facebook ارسال کرد .

در تاریخ 3 نوامبر 2009 نیز یک زوج بریتانیایی به دلیل استفاده از تروجان Zeus ( طبق اعترافات خودشان ) دستگیر شدند .

به طور کلی این تروجان در سال 2009 حدود 9 میلیون اسپم ارسال کرد .

اما هنوز در سال 2010 نیز این بدافزار به فعالیت خود ادامه میدهد .

در تاریخ 14 جولای 2010 شرکت امنیتی Trusteer گزارش داد که کارت های اعتباری بیش از 15 بانک آمریکایی در معرض خطر حمله این بدافزار قرار دارند . لازم به ذکر است که این شرکت هیچ نامی از این بانک ها نبرد .

پس از گذشت حدودا سه ماه از این گزارش ، FBI ( پلس فدرال آمریکا ) اعلام کرد مدارکی از وجود یک شبکه بزرگ جرائم اینترنتی حکایت میکند . این شبکه با استفاده از تروجان Zeus به سیستم های کامپیوتری کشور آمریکا نفوذ کرده و تابحال مبلغی در حدود 70 میلیون دلار سرقت کرده است .

محدوده فعالیت :

تاکنون بیش از 100 نفر از افرادی که از این تروجان استفاده کرده اند دستگیر شدند که 90 نفر از آنها آمریکایی و بقیه انگلیسی و اوکراینی هستند .

تروجان Zeus کامپیوترهای بیش از 196 کشور دنیا را به تسخیر خود در آورده است . پنج کشوری که بیشترین آمار آلودگی ها از آنها گزارش شده است ، عبارتنداز :

1- مصر .

2- آمریکا .

3- مکزیک .

4- عربستان سعودی .

5- ترکیه .

در مجموع بیش از 2400 کمپانی و سازمان در اثر حملات این تروجان آلوده شده اند .

سیستم عامل هدف :

باز هم مثل همیشه این سیستم عامل ویندوز است که علاوه بر باگ های موجود ، به دلیل استفاده گسترده در کل دنیا ، هدف یک بدافزار دیگر قرار گرفته . این بار ویندوز باید با Zeus دست و پنجه نرم کند . این بدافزار به غیر سیستم عامل ویندوز به هیچ یک از سیستم عامل های دیگر ، کاری ندارد .

البته افرادی که از ویندوز XP سرویس پک 2 استفاده میکنند باید آگاه باشند که آسیب پذیری بسیار شدیدی در اثر حمله این تروجان خواهند داشت .

لازم به ذکر است که این تروجان در درجه اول سعی در نفوذ به سیستم های کامپیوتری شرکت ها ، بانک ها و زیر ساخت های دولتی را دارد اما کاربران خانگی نیز میتوانند طعمه خوبی برای این تروجان باشند .

اطلاعاتی که Zeus آنها را هدف قرار میدهد :

زئوس اطلاعات مربوط به اکانت های شما در شبکه های اجتماعی ، سرویس های پست الکترونیک و موسسات مالی مثل بانک ها را هدف قرار میدهد .

طبق گزارشی که موسسه امنیتی Netwitness منتشر کرده است ، وبسایت های زیر بیشترین آمار ربوده شدن اطلاعات اکانت کاربرانشان را دارا هستند :

1- Facebook .

2- Yahoo .

3- Hi5 .

4- Metroflag .

5- Sonico .

6-Netlog  .

زئوس قابل خریدن است :

شما میتوانید به راحتی Zeus را خریداری کنید . البته این باید مبلغ هنگفتی را برای آن هزینه کنید . این مبلغ از حداقل 700 دلار شروع شده و به رقم 4000 دلار ( برای نسخه های جدیدتر ) نیز میرسد . کافیست به وبسایت هایی که معروف به وبسایت های زیر زمینی هستند مراجعه کنید و با پرداخت مبلغ درخواست شده ، یک عدد از این بدافزار را تهیه کنید . حتی زئوس این قابلیت را داراست که از یک بانک محلی ، یک وبسایت مالی و یا فروشگاه سرقت را انجام دهد و در واقع این صاحب Zeus است که تصمیم نهایی را خواهد گرفت .

کنترل کامل :

هنگامی که Zeus روی سیستم هدف فعال شد ، مانند یک Backdoor عمل میکند و کنترل کاملی را به صورت از راه دور ( Remote ) به فرد مهاجم میدهد و این یعنی هر دستوری که شما به سیستم هدف ارسال کنید ، پذیرفته خواهد شد .

در لیست اولویت کارهایی که Zeus انجام میدهد ، سرقت اطلاعات کاربری شما مثل اکانت های FTP ، ایمیل ، حساب بانکی و رمزهای عبور شما وجود دارد . در همین حین شما میتوانید به گوشه و کنار سیستمی که فتح کرده اید سرک بکشید .

نسخه :

آخرین نسخه موجود از Zeus ( در زمان نگاشته شدن این مقاله ) نسخه 1.3.1.1 میباشد .

پیدا کردن و پاکسازی :

حتی اگر یک آنتی ویروس خوب نیز روی سیستم شما نصب باشد ، پیدا کردن Zeus بسیار مشکل است . شاید این اولین و بهترین دلیل باشد که چرا این خانواده از بدافزارها بزرگترین بات نت سراسر اینترنت را تشکیل میدهند . همانطور که در بالا نیز عرض کردم ، کشور آمریکا به تنهایی سه میلیون و ششصد هزار سیستم آلوده به این تروجان را دارد . البته این مورد توجیه خوبی برای آپدیت نکردن آنتی ویروستان نیست و شما باید همیشه آنتی ویروس خود را بروز نگه دارید .

همیشه میگویند پیشگیری بهتر از درمان است . این مورد را کارشناسان دنیای امنیت نیز تایید میکنند . همچنین برای Zeus نیز این مورد تجویز شده است . اگر در شبکه های اجتماعی یا پست الکترونیک برای شما لینک جذابی ارسال شد ، آن را باز نکنید . اگر دیدید که این پیام ( در شبکه اجتماعی ) و یا ایمیل از طرف دوستتان هست ، حتما قبل از باز کردن لینک ، از دوست خود بپرسید که آیا او این لینک را برایتان فرستاده است یا خیر ؟ زیرا ممکن است Zeus به اکانت دوست شما نفوذ کرده و از طریق لیست دوستان و آشنایان لینک های مخرب خود را برای شما ارسال کرده باشد . پس هر لینکی را که دیدید سریعا آن را باز نکنید و کمی قبل از کلیک کردن تامل کنید .

در 27 آگوست 2010 شرکت امنیتی کسپرسکی در وبسایت خود ، مقاله ای را به منظور آموزش روش های مقابله با این تروجان منتشر کرد که در ادامه قسمت های مهم و قابل ذکر این مقاله را میخوانیم :

این تروجان از تکنیک مخفی سازی به روش روتکیت ها ( Rootkit ) بهره میبرد تا در نهایت بتوانید فایل های اجرایی و پردازش خود را از دید کاربر مخفی نگه دارد . بدافزارهای خانواده این تروجان ( Win32.Zbot ) معمولا از طریق مشاهده کردن صفحات اینترنتی آلوده به داخل کامپیوتر شما نفوذ میکنند . البته شما میتوانید با استفاده از یک آنتی ویروس آپدیت شده ( به صورت منظم ) از تغییراتی که این بدافزار در سیستم شما ایجاد میکند ، آگاه شوید . برنامه های امنیتی شرکت کسپرسکی میتوانند مانع از آلودگی سیستم شما به این تروجان شوند و یا اگر سیستم شما به تازگی توسط این تروجان آلوده شده است ، تمامی اثرات مربوط به این آلودگی را به صورت کامل از بین ببرد ( البته به نظر میرسد که این جمله بیشتر تبیلغاتی باشد و باید در عمل دید که آیا کسپرسکی میتواند کاری انجام دهد یا خیر ؟ ) .

اگر شما نمیتوانید از هیچ آنتی ویروسی روی کامپیوتر خود استفاده کنید ، بنابراین باید از برنامه Zbotkiller استفاده کنید . لازم به ذکر است که قبل از انجام هرگونه عملیات بانکی ، کامپیوتر خود را با استفاده از این برنامه Scan کنید تا مانع از وارد آمدن هرگونه زیان مالی به خود شوید .

در ادامه مهمترین علائم مربوط به این تروجان را به شما نشان خواهیم داد :

ممکن است که یک یا چندین مورد از فایل های زیر در پوشه های system32 و AppData وجود داشته باشند :

1- ntos.exe

2- twex.exe

3- tewxt.exe

4- oembios.exe

5- sdra64.exe

6- lowsec\local.ds

7- lowsec\user.ds

بیشتر تروجان ها رجیستری را یکی از امن ترین مکان ها برای خود میدانند . شاید یکی از دلایل این باشد که رجیستری بسیار گسترده بوده و پر از مسیرهای پیچ در پیچ و شاخه ای است و همچنین پر از کلیدهایی با نام های اختصاری میباشد که بررسی رجیستری را بسیار مشکل میکند . البته برنامه هایی برای بررسی رجیستری وجود دارند که به برنامه های مانیتورینگ رجیستری معروف هستند ولی باید اصول کار کردن با این برنامه ها را بلد بود و گرنه جز سردرگمی چیزی برای شما نخواهند داشت .

Zeus با استفاده از دو شاخه زیر در رجیستری و ساخت تعدادی کلید اقدام به لینک کردن ( آدرس دهی به فایل مخرب ) فایل های مخرب میکند تا در هنگام وقوع یک رویداد خاص ( مثلا راه اندازی مجدد ویندوز ) فایل های مخرب دوباره فعالیت خود را شروع کنند :

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit o

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

استفاده از Zbotkiller :

همانطور که در بالا گفته شد ، شما میتوانید از Zbotkiller به منظور پاک سازی سیستم خود و یا حداقل از کار انداختن تروجان استفاده کنید .

برنامه Zbotkiller امکانات زیر را برای شما فراهم میکند :

1- اسکن سریع سیستم به منظور پیدا کردن آلودگی .

2- پیدا کردن و پاک سازی تغییراتی که مربوط به خانواده Win32.Zbot باشد .

3- از کار انداختن تمامی عملیاتی که این تروجان به منظور مخفی سازی خود انجام میدهد .

4- در نهایت حذف فایل های مخرب و پاکسازی رجیستری از وجود آلودگی های مربوط به این خانواده .

اگر برنامه Kaspersky Administration Kit در شبکه شما در حال اجرا باشد ، میتوانید Zbotkiller را به صورت محلی و یا از راه دور ، راه اندازی کنید .

کافیست برنامه Zbotkiller را از وبسایت گویا آی تی دریافت کرده و آن را اجرا کنید .

FBI همچنان پیگیر ماجرا :

در اکتبر 2010 FBI اعلام کرد که هکرهای شرق اروپا با استفاده از این تروجان سیستم های کامپیوتری زیادی را در کل دنیا آلوده کرده اند . آنها این تروجان را از طریق سرورهای قدرتمند ارسال هرزنامه منتشر کرده و هدف خود را اطلاعات شخصی و تجاری قرار داده اند . FBI نیز توصیه کرد لینک های مشکوک را به هیچ وجه باز نکنید .

FBI همچنین اعلام کرد که هکرها پس از بدست آوردن اطلاعات شخصی و تجاری شما ، بدون هیچ گونه مشکلی به حساب بانکی شما رفته و موجودی حساب شما را تخلیه میکنند . توجه داشته باشید که هکرها احمق نیستند و خودشان به صورت مستقیم اقدام به برداشت از حساب دیگران نمیکنند . در واقع آنها اربابان بات نت خود هستند . با استفاده از همان بات نت ، بات ها را مجبور میکنند که از حساب شخص دیگری برداشت کرده و به حساب اربابان خود در شرق اروپا واریز کنند . البته در اینجا بات بیچاره روحش هم از این موضوع خبر ندارد و اگر هم مشکلی پیش بیاید ، پلیس ، بات را مقصر میداند . البته اگر باز هم هکر اصلی را شناسایی کنند ، دستشتان از وی کوتاه است . چرا که آنها در شرق اروپا هستند و FBI در آمریکا و پلیس بین الملل نیز تا هکر را پیدا کند مدت زمان زیادی طول خواهد کشید .

دیدگاه خود را وارد کنید
تعداد دیدگاه ها : 19 دیدگاه
  1. ممنون علیرضا جان از بابت این مطلب
    هر ساله یک ویروس به وسیله فرد یا افرادی ساخته میشه و موجی از ترس و دلهره رو بین مردم جهان به وجود میاره و باعث میشه که خبرش پخش بشه. پارسال کانفیکر بود و امسال هم استاکس نت و زئوس. ولی همه اونها بعد مدتی دیگر هیچ کارایی نخواهند داشت؛ چون تمام شرکت های ساخت آنتی ویروس اونها رو هدف گرفته اند.

    موفق باشی

    1. سلام مهدی جون . خواهش میکنم .
      شدیدا با صحبتهات موافقم . آره ، کانفیکر و استاکس نت و زئوس دارن جولان میدن ولی به قوا شما بعد از یه مدت از کار می افتن . خیلی ها قبل از اینا اومدن و نابود شدن . مثل Netsky و Saser و Sober . ولی همگی نابود شدن . هنوز هم آلودگی هایی رو به وجود میارن ولی نه مثل اون موقع ها که تیتر اخبار بودن . البته بیشتر مشکلات رو قبل از شناسایی شدنشون بوجود میارن و این یعنی بدافزارها همیشه یه قدم جلوتر از شرکت های امنیتی هستن و این خیلی بده .

  2. با سلام .
    یک لینک خوشمزه برای لینکدونی شما :

    ماریو (قارچ خور) را به صورت آنلاین بازی کنید!

    http://www.full-dl.com/extrapage/onlinesuperflashmario

    1. سلام .
      خواهش میکنم . لطف دارید .

  3. شاید خبری بگویم که از تعجب پرواز کنید ولی این ویروس ساخته و پرداخته یک ایرانی مهاجر در خارج کشور است که با نام جعلی این ویروس را منتشر می کند. هموطن ! نکن!

    1. جدی ؟؟؟؟؟؟؟؟!!!!!!!!!
      لطفا میشه بیشتر توضیح بدی ……….
      تشکر ……..

  4. سلام
    از دوست عزیز اقا علی رضا زارع خواهشمندم یک نمونه از خطرناک ترین تروجان ژئوس را بزارد می خواهم با ضد ویروس اویرا واوست تست کنم لینک دانلودش را بزار وهمچین ویروس استارس

    1. سلام مجید جان .
      مجید جان زئوس تروجانی هست که واسه مقاصد سودجویانه ازش استفاده میشه و همچنین داخل مطلب هم عنوان شده که خریدنی هستن .
      عزیزم استارس که خیلی جدیده و اون نسخه ای که مد نظر شماست رو اینطوری نیست که کسی داشته باشه . چون با اهداف سیاسی نوشته شده و بدافزاری نیست که به صورت عمومی پخش شده یا بشه دانلودش کرد .

      موفق باشی ………

  5. سلم کلا اقا علی رضا زارع کلا لینک این ویروس های خطرناک اسم بردی مثل کانفیکر و استاکس نت و زئوس واستارس را لینک دانلودش را بزار تا ما کاربران تست کنم اگه ضد ویروس نشناخت برایشان بفرستیم تا به دیتابیس خودشان اضفه کنند بس خواهشا بزار لینک دانلودش را من هر گونه عواقب را قبول می کنم

    1. اون کانفیکر رو شاید بتونی از داخل اینترنت پیدا کنی ولی قبل از اینکه شما بخاین برای شرکت های امنیتی بفرستین ، اونا خودشون ضد روش رو پیدا کردن و نابودش کردن . ویروس استاکس نت هم میگن شامل چند نسخه هست . ولی اون نسخه ای که تعریفش رو زیاد شنیدیم ( داخل تاسیسات هسته ای هست ) به هیچ عنوان در دسترس کسی قرار نداره که بشه مثلا دانلودش کرد . البته فکر کنم چند مدت پیش ، گروه هکری Anonymous اعلام کرده بود که تونسته به یه نسخه کامل از این بدافزار دسترسی پیدا کنه . اما اینطوری که افراد عادی مثل بنده و شما بتونیم بهش دسترسی داشته باشیم و تستش کنیم ، قطعا امکانش نیست .

  6. سلام
    این ویرس استارس چیست ایا وجود خارجی دارد اگه دارد لینک دانلودش را بزار می خواهم تست کنم

    1. از لحاظ اینکه وجود خارجی داشته باشه که بله ، ولی چون با اهداف سیاسی نوشته شده ، قطعا در دسترس افراد عادی نیست که بشه دانلودش کرد .
      ولی خیلی ازت خوشم میاد مجید جان ، چون واقعا پسر کنجکاوی هستی و من واقعا این حس کنجکاویت رو تحسین میکنم . ظاهرا به مبحث امنیت هم علاقمندی . از کامنت هایی که میزاری اینطوری برداشت کردم .
      موفق باشی رفیق ………..

  7. سلام
    یک سوال اوست 6 بهتره یا نود32 یا اویرا یا ماکروسافت انشیال یا ای وی جی ؟

    1. متاسفانه با دو مورد آخر ( آنتی ویروس مایکروسافت و ای وی جی ) کار نکردم و به همین دلیل نمیتونم نظر قطعی بدم . ولی تعریف ای وی جی رو زیاد شنیدم و همچنین آمارهایی که سایت های تست آنتی ویروس میدن ، اینطور نشون میده که ای وی جی بهتر از آنتی ویروس مایکروسافت هستش .

  8. سلام
    سوال بعد ی
    بهترین فایروال کدام است کومودو یا زون الارم یا اوت پوست ؟

    1. متاسفانه تجربه زیادی در زمینه کار با فایروال ها ندارم و به همین دلیل نمیتونم نظر بدم . البته دوستانی که استفاده کردن ، کومودور رو پیشنهاد میدن .

  9. سلام
    جناب العالی من دوست داشتم لینک دانلود این ویروس ها را میزاشتی حداقل ما قدرت انتی ویروس را می شنجیدیم تروجان ژئوس یا استارس استاکس نت را من قبلا تست کردم چند نمونه اش اکثر انتی ویرس های مثل اویرا واوست وکسپراسکی راحت شناسایی وپاک کردند اوست که روی هوا گرفته نزاشت نفس بکشه پاکش کرد

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *