Στο SophosLabs έχουν παρατηρήσει προηγούμενες εκδόσεις του ZeroAccess rootkit σε βάθος, και περιγράφουν τον τρόπο που
υποδουλώνει τους υπολογιστές των θυμάτων του, προσθέτοντας τους σε ένα peer-to-peer botnet για να μπορούν να λάβουν εντολές και να κατεβάσουν επιπλέον malware.
Πρόσφατα, οι ερευνητές της Sophos διερεύνησαν πώς το ZeroAccess έκανε μια σημαντική αλλαγή στρατηγικής , που του επιτρέπει να λειτουργεί εξ ολοκλήρου στ0 user-mode memory.
“Λόγω της συνεχιζόμενης αναβάθμισης αυτού του υψηλού προφίλ malware θεωρήσαμε ότι ήταν απαραίτητο να εξεταστεί η απειλή με μεγαλύτερη λεπτομέρεια, όχι μόνο στην τελευταία έκδοση του ZeroAccess, αλλά και το ZeroAccess botnet ως σύνολο.”
Οι ερευνητές της SophosLabs αποκάλυψαν ότι η τρέχουσα έκδοση του ZeroAccess έχει εγκατασταθεί σε πάνω από εννέα εκατομμύρια υπολογιστές φορές ενώ ο τρέχων αριθμός των υπολογιστών που συνεχίζουν να είναι μολυσμένοι απαριθμούν περίπου το ένα εκατομμύριο.
ZeroAccess χρησιμοποιεί ένα δίκτυο peer-to-peer για να κατεβάσει αρχεία plugins που πραγματοποιούν διάφορες εργασίες και αποσκοπούν στη δημιουργία εσόδων για τους ιδιοκτήτες του botnet. Οι ερευνητές παρακολουθούν αυτό το δίκτυο για μια περίοδο δύο μηνών για να ανακαλύψουν σε ποιο μέρος του κόσμου βρίσκονταν τα peers και τι είδους αρχεία διακινεί το botnet.
Βρήκαν τις διευθύνσεις IP των μολυσμένων μηχανημάτων από ένα σύνολο 198 χωρών και τις κατέγραψαν σε ένα παγκόσμιο χάρτη:
Ο μεγαλύτερος αριθμός των μολυσμένων υπολογιστών βρέθηκαν στις ΗΠΑ, τον Καναδά και τη Δυτική Ευρώπη:
Η έρευνα έχει ανακαλύψει ότι το ZeroAccess botnet χρησιμοποιείται αυτή τη στιγμή για δύο βασικούς λόγους: Για να κλέβει click αλλά και νομίσματα της Bitcoin.
Το ZeroAccess botnet είναι σε θέση να κερδίζει το εντυπωσιακό ποσό των 100.000 δολαρίων την ημέρα.
Πηγή: iguru.gr
0 Σχόλια