Közel tíz év van már a Zeus nevű trójai mögött. Első variánsát 2007-ben fedezték fel, de virulensnek bizonyult, különböző változatai több millió számítógépet fertőztek meg világszerte. Három évvel később belekerült egy VNC (Virtual Network Computing) modul, amelynek segítségével gyakorlatilag a legális távfelügyeleti szolgáltatásokkal megegyező módon lehetett hozzáférni a fertőzött gépekhez, ami már előrevetítette, hogy banki adatokat veszélyeztető hálózatok jöhetnek létre a Zeus segítségével.

2011-ben újabb fordulat történt: a forráskód kikerült az internetre, és onnantól komoly karriert futott be. 2013-ban például az FBI-nak és a Microsoft Digital Crimes részlegének sikerült felszámolni egy botnetet, a Citadelt, amelynek segítségével állítólag félmilliárd dollárt sikerült ellopniuk kiberbűnözőknek.

Mindmáig használja az alvilág

A Zeus egyes összetevőinek forráskódját azonban máshoz is felhasználták egy az egyben vagy módosított formában – írta a Biztonságportál. És hogy ez még mindig nem csengett le, bizonyítja az idén februárban felfedezett Panda Banker nevű trójai, amely nagyon sok hasonlóságot mutat a Zeusszal.

A Panda Banker a kutatók szerint elsősorban célzott támadásokban kap szerepet. Ha a fertőzés megtörténik, akkor megnő a banki károkozások kockázata. Legtöbbször elektronikus levelek csatolmányain keresztül kerül fel a számítógépekre. Támadtak vele médiacéget, ipari létesítményeket, sőt márciusban egy pénzügyi szervezet is megismerhette, milyen az, ha a Panda Banker fertőz. Ez utóbbi esetben például e-mailekbe csatolt Word dokumentum révén fertőzött. A dokumentum nem tartalmazta a kódot, csupán a trójai letöltéséért felelt.

Az Angler is segíti

A trójai a terjedéshez olyan ismert exploit kitetek is felhasznál, mint az Angler, a Nuclear vagy a Neutrino, melyek segítségével képes sebezhetőségeket kihasználni. Ha pedig Word dokumentummal fertőz, akkor próbálja elérni, hogy a felhasználó engedélyezze a makrók futtatását. Ez utóbbi esetben az állományból a felhasználó értelmetlen karakterhalmazt lát, viszont kap egy utasítást, hogy ha olvashatóvá akarja tenni a dokumentumot, engedélyezze a makrókat.

A Panda Banker viselkedésének nagyon sok eleme hasonlít a Zeuséra, például az általa létrehozott mutexek, fájlok, regisztrációs adatbázisban létrejövő bejegyzések. A károkozó fertőzés után folyamatosan kommunikál a vezérlőszervereivel, akárcsak a Zeus, és úgynevezett fast flux DNS technikával próbálja védeni a kiszolgálóit, illetve a teljes háttérinfrastruktúráját a leleplezéstől.

Nagyon fontos jellemzője, hogy támogatja a web injection típusú eljárásokat és az ATS (Automatic Transfer System) műveleteket. Ezek teszik alkalmassá arra, hogy automatikusan kezdeményezhessen bizonyos banki műveleteket, például pénzügyi tranzakciókat, olyan banki rendszerekben, amelyekre a vírusírók korábban felkészítették. Eddig elsősorban ausztrál és brit pénzintézetek ügyfelei estek áldozatul a Panda Bankernek.

Szerencsére lehet ellene védekezni: tartsa frissen biztonsági szoftverét, és ne nyisson meg ismeretlenektől érkező, gyanús küldeményeket.