Zeus что это за программа
Zeus до сих пор является основой многих современных троянов
В 2007 году никто не ожидал, что ZeuS окажет такое серьезное влияние на цифровой мир. Но спустя два года Zbot (еще одно имя, под которым он известен) стал важной вехой в истории кибер-безопасности. Заразив в 2009 году свыше 3,6 миллионов компьютеров, ZeuS скомпрометировал свыше 74000 FTP-аккаунтов в таких важных сетях, как NASA, ABC, Oracle, Cisco, Amazon и Bank of America. Он сумел также украсть и заблокировать информацию в Министерстве транспорта США, а также других государственных учреждениях. Его влияние было крайне негативным, а меры по борьбе с ним оказались достаточно жесткими и сложными. На текущий момент ZeuS все еще представляет угрозу.
Что такое ZeuS и что он делает?
Zbot – это классический троян во многих отношениях: как правило, он заражает с помощью фишинговых методов или техник «попутной загрузки». В основном, программное обеспечение, разработанное для заражения систем с Windows, попадало на компьютеры в рамках добровольных, но непреднамеренных загрузок, через зараженные всплывающие окна или почтовые вложения. После того как он заражал компьютер, этот троян, в зависимости от своего варианта, действовал различными способами. В целом, ZeuS известен своим использованием при краже регистрационных данных, паролей и другой конфиденциальной информации с помощью различных техник: кейлоггинг, перехват форм с данными или даже шифрование.
Среди уязвимостей, эксплуатируемых этим трояном, следует назвать некоторые сбои в Microsoft ATL, различные проблемы, обнаруженные в элементах управления ActiveX или уязвимости в функциях, контролируемых с помощью JavaScript, а также многие другие. В свое время Zbot был вовремя обнаружен и идентифицирован, что позволило предотвратить его массовое распространение. Однако данный троян, предположительно созданный Евгением Богачевым, известным как “Slavik”, стал базой для мощного инструментария, который можно приобрести на «черном» рынке. Эти утилиты предлагают различные модули, с помощью которых можно разрабатывать и создавать новые вредоносные программы.
«Сыновья» ZeuS
Существуют тысячи вариантов Zbot. Некоторые, наподобие Gameover или более свежего Atmos, стали достаточно известны. Sphinx, Floki Bot и многие другие имеют в своем ядре те же принципы, что были заложены в ZeuS. Впрочем, им удалось оставаться незамеченными для различных средств безопасности. Gameover поставил под угрозу большую часть финансового сообщества, а Atmos, обнаруженный в 2015 году, был направлен на банки и финансовые операции, которые они совершают. Предупреждение от экспертов вполне понятно: ZeuS все еще здесь, просто он циркулирует под новыми именами и оттачивает новые «навыки». И он стал еще более опасным, чем раньше.
Как мы можем защитить себя?
Катастрофические последствия заражения эти трояном (или, точнее сказать, его вариантами) можно смягчить или вовсе предотвратить. Для этого мы должны предпринять несколько незамедлительных мер предосторожностей. Помимо использования современных и передовых решений информационной безопасности с функциями расширенной защиты, способных предотвращать распространение этого трояна в корпоративных сетях, рекомендуется принять во внимание следующие аспекты:
Благодаря дополнительному вниманию и обучению сотрудников, ZeuS станет небольшой и хорошо контролируемой угрозой.
ZeuS (троянская программа)
Содержание
Характеристика троянской программы
Распространение
Центры управления
В лаборатории Касперского, согласно статистики IP-адресов, была составлена карта распространения серверов.
Скрытое сообщение в программе
Thanks to KAV and to Avira for new quests, i like it! NOD32 and SAV is stupid!
Ущерб
Примечания
Ссылки
Полезное
Смотреть что такое «ZeuS (троянская программа)» в других словарях:
Вредоносная программа — (на жаргоне антивирусных служб «зловред», англ. malware, malicious software «злонамеренное программное обеспечение») любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным… … Википедия
Хронология компьютерных вирусов и червей — Здесь приведён хронологический список появления некоторых известных компьютерных вирусов и червей, а также событий, оказавших серьёзное влияние на их развитие. Содержание 1 2012 2 2011 3 2010 4 2009 … Википедия
Сетевой червь — У этого термина существуют и другие значения, см. Черви (значения). Сетевой червь разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети. Содержание 1 История 2 Механизмы… … Википедия
Ботнет — (англ. botnet, МФА: [ˈbɒtnɛt]; произошло от слов robot и network) это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами автономным программным обеспечением. Чаще всего бот в составе ботнета… … Википедия
Gumblar — также известный как JSRedir R это троянская программа использует пробелы системы безопасности в дополнительных модулях для браузера, таких как PDF или Adobe Flash. Gumblar манипулирует результатами поисковых запросов системы Google search.… … Википедия
Охота на Гидру: почему Gameover ZeuS никуда не денется
У экспертов по кибербезопасности есть проблема. Нет, конечно, проблем много, но одна из них отличается особой назойливостью. Для того, чтобы попытаться её решить, пришлось организовывать чуть ли ни всемирную операцию,
У экспертов по кибербезопасности есть проблема. Нет, конечно, проблем много, но одна из них отличается особой назойливостью. Для того, чтобы попытаться её решить, пришлось организовывать чуть ли ни всемирную операцию, и всё равно результаты оказались в лучшем случае временные.
Ок, ботнет нейтрализован. Несколько недель назад состоялась «Операция Tovar» — совместная акция между правоохранительными органами нескольких стран и экспертами по кибербезопасности, в результате которой владельцы ботнета потеряли его контрольные серверы.
К сожалению, победу никто праздновать не торопится: объявив о нейтрализации C&C-серверов, правоохранители сразу же признали, что у пользователей, пострадавших от Gameover ZeuS, есть около двух недель, чтобы очистить свои компьютеры от его агентов. Эксперты полагают, что владельцы ботнета попытаются его восстановить, запустив новые серверы (эти попытки, кстати, уже наблюдаются).
Несмотря на масштабность операции, ботнет вышел из строя лишь временно.
Gameover ZeuS донимает людей уже около трёх лет; в принципе, не будет ошибкой сказать, что его история тянется куда дольше: он построен на базе оригинального ZeuS, чьи троянцы были впервые обнаружены в 2007 году. В 2011-м исходники ZeuS утекли в Сеть, в результате на свет появились множественные подобия. Gameover — из самых зловредных.
Варианты ZeuS в основном занимались кражей банковских реквизитов и использовались для финансовых махинаций. Владельцы Gameover ZeuS пошли дальше: по всей видимости, этот зловред использовлся для масштабных захватов крупных долларовых счетов, с использованием DDoS-атак в качестве дымовой завесы.
Хуже того, по-видимому, владельцы ботнета сдают его части в аренду «друзьям», и те распространяют через него растреклятый Cryptolocker, машину массового вымогательства.
В начале июня 2014 года Минюст США объявил, что «Операция Tovar» позволила временно вывести ботнет из строя, нарушив соединения между конечными агентами и контрольными серверами. Это оказалось весьма непросто сделать, поскольку Gameover ZeuS, в отличие от «обычных» ботнетов, использует P2P-соединения для контроля и распространения обновлений своих ботов. Тем самым он напоминает мифическую Гидру: отруби одну голову, отрастут несколько новых.
Позднее было объявлено имя главного подозреваемого: 30-летний россиянин Евгений Михайлович Богачев. Ему заочно предъявлены обвинения в США. Впрочем, эксперты считают, что управлением ботнетом занимаются несколько человек.
Нет особых сомнений в том, что Gameover ZeuS скоро вернётся. Сейчас он неактивен, но вряд ли мёртв. Почему? Потому что, во-первых, в мире остаётся до миллиона заражённых компьютеров. Некоторые пользователи получили уведомления от своих провайдеров, обнаруживших у них заразу, но многие до сих пор ничего про этих ботов не знают.
Так что, если в ближайшее время в мире не случится этакий «глобальный кибер-субботник», основа ботнета останется более-менее нетронутой.
Ну, и даже если он сколько-нибудь значительно «усохнет», нарастить его заново вряд ли составит большого труда. Gameover распространялся через другой ботнет — Cutwail, с которым специалисты давно и не очень успешно пытаются бороться. Почему бы не воспользоваться им снова?
Владельцы ботнета на свободе, и хотя одному из них предъявлено обвинение, во-первых, нет никаких гарантий, что его удастся в ближайшее время поймать, как нет гарантий, что это именно некий Богачев является главным оператором ботнета. Пока суд не решит иначе, никого называть виновным нельзя.
Короче говоря, владельцы ботнета на свободе и непрочь восстановить свой источник нелегальных доходов.
В конце концов, в подполье распространяются и другие вариации на тему ZeuS, и кто знает, как скоро появится что-то ещё более «убойное», чем Gameover?
Но, всё-таки, а что делать-то? О «глобальном субботнике», который можно было бы провести с подачи борцов с киберпреступностью, пока остаётся только мечтать. Хотя, конечно, было бы здорово, если бы, скажем, 31 августа пара миллиардов пользователей взяли, да и проверили свои компьютеры всеми доступными им инструментами. Мечты-мечты.
Глобальный киберсубботник — мечта. Фантастическая, увы.
Ботнеты в большинстве своём состоят из старых машин на Windows XP, хозяева которых исходят из мысли «пока работает — не трогаем». Вряд ли они вообще обратят внимание на призывы прибраться у себя на машинах.
Так что более сознательным пользователям и компаниям остаётся пока только полагаться на себя и традиционные инструменты: решения «Лаборатории Касперского», например, успешно ловят и ZeuS, и Gameover ZeuS и Cryptolocker. Самостоятельно защищать электронные платежи от возможных попыток мошенничества тоже — хорошая идея. Внимательно относиться к тому, что пытается пролезть на ваш ПК, тоже будет нелишним.
Ну и напоследок несколько рекомендаций от нашего Старшего аналитика Дэвида Эмма:
«Для обеспечения безопасности вашей финансовой информации (от ZeuS и прочих зловредов, стремящихся похитить ваши личные данные, следует не забывать о нескольких простых правилах:
И не забывайте использовать защиту для любых транзакций с мобильных устройств.»
Эволюция Zeus. Part II
Файловый инфектор
Идея заражения файлов получила свое развитие во вредоносной программе PE_LICAT, обнаруженной Trend Micro в октябре 2010 года. PE_LICAT представляет собой продвинутый дроппер Zeus, его основная функция — загрузка и запуск новых файлов Zeus с удаленных серверов. В исполняемые файлы внедряется 1771 байт вредоносного кода. PE_LICAT использует те же механизмы, что и в Zeus 2.1.0.10 — DGA с идентичным алгоритмом и процедуру проверки подписи загружаемого файла. Подробное описание DGA приведено в отчете Trend Micro «File-Patching ZBOT Variants» pdf, eng).
Последователи дела Zeus
Несмотря на заявление Slavik о передаче всего кода, исходный код Zeus 2.0.8.9, начиная с февраля 2011 года, стал предлагаться на продажу. В конечном итоге в мае 2011 года произошла утечка исходных кодов данной версии в свободный доступ. В архиве с исходниками отсутствовали некоторые файлы:
Естественно, сразу появились люди, желающие продолжить начатое на базе этих исходников. Для примера можно упомянуть проект «ICE IX» (назван как вирус из фильма «Рекрут»?), который не предлагал ничего нового и являлся попыткой заработать денег на известном имени. Но «достойный» последователь нашелся, это — проект Citadel. Его ключевой особенностью стало создание онлайн-платформы, организованной по принципу социальной сети. Здесь заказчики могут запрашивать новые функции, сообщать об ошибках и добавлять собственные модули, что превращает процесс разработки в некое подобие opensource-проекта. Также организуется система технической поддержки покупателей, выражающаяся в постоянной поддержке Citadel в актуальном состоянии. Так, авторы сообщают, что они стремятся сделать цикл обновления Citadel меньше цикла выпуска новых антивирусных баз, что позволяет долгое время не обнаруживаться на зараженном компьютере. Как заявляют разработчики, в Citadel исправлены все имеющиеся в ранних версиях Zeus изъяны, включая модуль по сбору данных при работе в Google Chrome. Помимо этого была добавлена возможность записи и передачи видео.
Впервые ботнет на базе Citadel был обнаружен в декабре 2011 года исследователи компании Securlet, сейчас количество ботнетов на базе Citadel исчисляется десятками.
Тогда базовый пакет Citadel продавался за 2399$, цена «аренды» составляла 125$ в месяц, дополнительные модули покупаются отдельно. Например, 395$ стоит модуль, который позволяет боту обновляться автоматически. Апдейты распространяются посредством Jabber, каждый апдейт стоит 15$.
Из последних «громких» событий можно отметить обнаружение в августе 2012 года специалистами компании Trusteer бота Citadel, модифицированного для атак на инфраструктуру аэропорта. При помощи Citadel злоумышленники могут получить контроль над защищенным VPN-соединением между ПК сотрудника аэропорта, работающим в удаленном режиме, и интерфейсами компьютерных систем, предназначенных для обеспечения работы аэропорта. Какой именно аэропорт стал целью атаки, не сообщается. Атака осуществляется следующим образом — сначала перехватывается пароль и имя пользователя, вводимое в форму подключения к VPN. Далее задействуется упрощенный однофакторный режим аутентификации вместо двухфакторного (нажатием на кнопку «Get Image»). В результате этого вместо подтверждения по SMS пользователю будет демонстрироваться картинка (проверочный код) с десятью цифрами. Пользователь затем сопоставляет свой пароль со строкой цифр в изображении для создания «одноразового» пароля. Таким образом, получив цифры с проверочной картинки (путем снимков экрана) и пароль, а также зная алгоритм генерации «одноразового» пароля, можно легко его вычислить и войти в систему.
Интересный факт, что если на атакованном компьютере используется русская или украинская раскладка, Citadel самостоятельно деактивируется. Ранее уже отмечалось, что семейство Zeus разрабатывается русскоязычными программистами. Что на самом деле движет создателями — то ли некий «патриотизм», то ли из-за нежелания попадать в поле зрения отечественных правоохранительных органов (как известно к преступникам применяются правовые нормы страны, где произошло преступление). С другой стороны, в России распространение Интернет банкинга и системы электронных платежей через Интернет запаздывает по сравнению со странами Запада, так что распространение банковских троянских программ не имело бы большой финансовой отдачи.
Zeus, version 3 — Gameover
В версии Zeus 2.1 была сделана попытка уйти от жестко заданного командного центра и перехода к более защищенной от действий антивирусных компаний системе управления (использование DGA). Как выяснилось позже, создатели Zeus продолжили свои изыскания в данной области.
В октябре 2011 года Роман Хюсси, создатель ZeusTracker, исследуя последний полученный вариант Zeus, заметил наличие странного UDP-трафика. Дальнейший анализ показал, что новый вариант Zeus имел несколько IP-адресов в конфигурационном блоке, и компьютеры с этими IP отвечали инфицированной системе. В течении 24 часов было выявлено около 100 тысяч уникальных IP адресов, с которыми связывалась новая модификация. Большая часть зараженных компьютеров была расположена в Индии, Италии и США. Так было установлено, что Zeus перешел на использование P2P механизма обновления себя и своих блоков данных конфигурации. Из-за использования названия скрипта gameover.php при обращении командного центра, для этой версии употребляется название Gameover Zeus. Это достаточно символично — как видно, «игры» c Zeus давно закончились.
Механизм Zeus P2P (ZP2P) основывался на протоколе Kademlia. Компьютер (узел) в сети ZP2P идентифицировался уникальным идентификатором (UID), который создавался во время первого запуска. Каждый экземпляр Zeus в ZP2P имел «таблицу соседей», хранящуюся в памяти. Этот массив содержит список около 30 соседних узлов в сети ZP2P — их UID, IP-адрес и номер порта UDP. В ZP2P сети использовалось несколько типов соединений:
В феврале 2012 года исследователи компании Symantec обнаружили очередной вариант Zeus, использующий ZP2P. Данная модификация содержала в себе встроенный web-сервер на базе Nginx. Протоколы связи в ZP2P стали использовать только UDP, для затруднения отслеживания потоков данных Zeus. Теперь бот получил возможность загрузки исполняемых файлов через протокол HTTP от других ботов. Таким образом, каждый бот мог выступать в качестве своеобразного командного центра или выступать в качестве посредника (прокси) в цепочке управления. Такая же техника использовалась в ботнете Waledac/Kelihos версии С, возродившемся в начале 2012 года — через два года после закрытия при содействии Microsoft и ряда антивирусных компаний в 2010 году.
Интересно, что ботсеть ZP2P использовалась для распространения двух вредоносных программ сторонних разработчиков — фальшивого антивируса и прокси-сервера, чего ранее за Zeus не замечалось. С целью оценки распространения этой версии Zeus, специалисты Symantec произвели мониторинг работы сети ZP2P. В период с апреля по июль 2012 года было зафиксировано 678.205 уникальных UID и 1.570.871 уникальных IP. Не все из данных IP были доступны, что объясняется нахождением за firewall или nat. К тому же провайдеры Интернета используют пул динамических адресов, поэтому к одному UID могли относиться разные IP адреса из диапазона пула. Наибольшее количество заражений приходилось на США (29.2%).
Как и прежде, основным источником заражения были письма, содержащие ссылки на вредоносные сайты, чаще всего перенаправлявший запросы браузера на эксплоит пак BlackHole. Благодаря этому установка вредоносных программ происходит без каких-либо действий пользователя (кроме просмотра зараженной страницы). Но на сей раз BlackHole загружал на компьютеры не сам P2P Zeus, а троянский загрузчик (trojan downloader) Pony. Pony представляет собой очередное crimeware, основная функция которого — загрузка и запуск вредоносных программ в обход средств антивирусной защиты. Pony имеет свою собственную админпанель, где отображается статистика успешных загрузок и запусков. Таким образом, установка P2P Zeus производилась следующим образом:
Небольшой обзор исходного кода трояна zeus
Введение
Как нам подсказывает англо-русский словарь, zeus переводится как Зевс, Громовержец, главный бог древне-греческого пантиона. Назвав свое творение zeus в далеком уже 2007 году, неизвестный автор трояна взял на себя определенные обязательства, обязывающие быть если не главным, то как минимум в числе первых, и надо признать, он выполнил, и даже перевыполнил эти обязательства.
Zeus-троян стал уже легендарным на просторах Интернета и даже за его пределами за последние несколько лет. Ни один из троянов не зацвел таким буйным цветом, не распространился так широко, как этот, а по широте охвата zeus ненамного отстает от печально знаменитого червя Kido/Conficker.
Изначально zeus позиционировался как бансковский троян, то есть программа, которая каким либо образом проникает на компьютер жертвы и передает своему хозяину конфиденциальную информацию — логины, пароли, номера кредитных карт, CVV2/CVC2 коды и так далее. Но со временем стали появляться и модификации для кражи корпоративных данных, заражения исполняемых файлов, рассылки спама и так далее. 
Расскажу немного о бизнес — схеме, которая используется при работе с zeus. Автор zeus (или авторы), заботливо расширяет и совершенствует свое детище вот уже много лет, но у этого парня хватает ума самому не заниматься распространением трояна — он продает конструктор для создания модифицированных версий всем желающим, с более или менее понятными инструкциями, также можно купить и тех. поддержку. Ну а поиском Дедиков как центров управления, созданием и распространением трояна — клиента, обработкой полученных номеров кредиток, обналичкой и прочим криминалом занимается всякая низкоинтеллектуальная “школота”. 
Самый показательный пример такого рода – это задержание в начале октября 2010 года в США группы студентов из России, которые погорели скорее всего из-за своей неуемной жадности и тупости. Вот их имена: Илья Карасев, Кристина Извекова, Софья Дикова и иже с ними. Взято отсюда. Впрочем, вся школота на удивление дешево отделалась — каждому дали меньше года тюрьмы и мизерный денежный штраф, хотя в США за такие преступления можно сесть на 40 лет.
Хотя надо отметить, что автор zeus принимал активное участие в работе существующих крупных ботнетов, видимо в рамках тех. поддержки пользователям, ибо он пишет в рекомендациях по использованию своего детища, что дедик, на котором должна крутится адмика, должен быть достаточно мощным, с конкретными указаниями конфигурации.
Недавно zeus засветился еще в одной атаке – кто то перед рождеством разослал поздравительные рождественские открытки якобы из Белого дома по правительcnвенным учреждениям США. При переходе по ссылке или открытии прикрепленного файла zeus тупо сканировал винчестер в поисках Word, Exel, PDF файлов и отсылал их на некий сервер в Белоруссии.
Вообще, очень много ниточек от zeus ведут в страны постсоветского пространства, что дает основания подозревать, что родом он из России или Украины, что в последствии и подтвердилось, ибо комментарии в исходниках и инструкции по работе были написаны на русском. Да и сам GUI Сервера zeus содержал всего два языка — английский и русский.
Возможности
-Язык и IDE программирования:
-Поддерживаемые ОС:
-Принцип действия:
-Процесс установки:
-Защита:
-Получение важных данных из программ пользователя:
Логинов из FTP-клиентов: FlashFXP, CuteFtp, Total Commander, WsFTP, FileZilla, FAR Manager, WinSCP, FTP Commander, CoreFTP, SmartFTP. «Кукисов» Adobe (Macromedia) Flash Player. «Кукисов» wininet.dll, Mozilla Firefox. Импорт сертификатов из хранилища сертификатов Windows. И слежение за их дальнейшим добавлением. Слежение за нажатием клавиш клавиатуры.
Сделаю несколько своих комментариев по поводу высказываний автора zeus: та версия, которая попала ко мне, была откомпилирована на компьютере автора с помощью MS Visual Studio 10.0, так что файл комментов несколько устарел. Толи автор не удосужился их обновить для того юзера, которому продал сорсы, толи еще что.
По поводу принципа действия – автор решил не заморачиватся написанием драйверов, поднятием привилегий и прочими boot-time фишками, которые очень популярны у вирусописателей в последнее время, и не случайно — эта олд-скульность весьма оправдана, так как бот работает предельно стабильно на всем семействе операционок Windows, функционален даже из под гостевого аккаунта, и имеет минимально возможную вероятность запалиться антивирусом. Тем более что в операционках семейства Windows после выхода XP SP2 для поддержки технологии “горячего патча” пролог каждой функции был сделан постоянной длинны в 5 байт, что избавло zeus от того, чтобы таскать с собой дизассемблер BeaEngine, и это несомненно пошло на пользу трояну, ибо автор zeus называет дизассемблер “довольно громоздким, хоть и универсальным”.
Узкое место то, что клиентская программа трояна прописывает себя в каждом пользовательском процессе, и этим ее можно детектировать. Например, техника определения, инфицирован ли данный процесс, используется самим ботом-клиентом для отрисовки окна при работе встроенного vnc сервера – проверяется, создан ли в процессе мутекс со специальным именем. Если создан – значит данный процесс инфицирован. Но имя скорее всего уникально для каждого экземпляра программы-клиента, так что так просто это в правила антивиря запихать не удастся. Вот еще интересные строчки “При установке, бот создает свою копию в домашней директории пользователя, В данный момент не производиться скрытие файлов бота через WinAPI” что дает нам отличный способ детектирования именно этого бота. И вообще – в корне домашнего каталога юзера не должно быть никаких левых подозрительных файлов! Особенно выполняемых, странно что антивирусы об этом не знают.
Вообще, схема распространения данной версии zeus довольно примитивна – пользователь переходит по ссылке, пришедшей в спамерском письме, или через инфицированный pdf документ, и запускает программу-инсталятор zeus, которая шифрует уникальным шифром вирус под каждого отдельного пользователя, после чего инсталлятор удаляется, а вирус сможет исполнятся только на этом данном компе под данным юзером. Никаких распространений через сканирование сети, через флешки, и прочих новомодных штучек. Все это безусловно ограничивает распространения трояна, зато делает его гораздо более устойчивым к антивирусам, что, судя по степени распространения zeus более чем оправдано.
По поводу “Получение важных данных из программ пользователя”- чистая правда, такая функциональность есть. Правда, автор забыл написать, что грабилка паролей CuteFTP в текущей версии закоментарена, то есть в билд она не попадает, судя по тому что не доделана, а расшифровка пароля для WsFTP вообще не реализована, что отражено в коментах сорсов, но это все мелочи 😉 Странно, что автор не потрудился на пароли аськи, скайпа, сохраненные пароли от соц. сетей и т.д., другие Трояны с радостью крадут все эти данные. Судя по всему, алгоритмы расшифровки многих паролей были получены методами реверсивного инжиниринга, то есть дизассемблированием. Кстати, среди браузеров автором не упомянут Google chrome, вдруг его данные троян не грабит, так что возможно лучше всего пользовать браузер от Google, хотя я этот вопрос не исследовал.
Ну как ясно из всего вышеперечисленного – zeus необычайно широко распространен, качественно сделан, устойчив и скрытен в работе, легко адаптируется под различные новые задачи, кроме всего прочего, работает под подавляющим большинством операционных систем семейства Windows, в том числе и в 64-битных. В общем, в своем роде просто уникальный продукт.
Ну и напоследок — исходники этого самого знаменитого трояна таки утекли в сеть, то есть его создатель попал на те же грабли, что и его законопослушные коллеги-программисты: кто то из покупателей толи потерял, толи намеренно выложит сорсы в сеть, благодаря чему все желающие получили возможность познакомится со зловредом так сказать изнутри.
Анализ
Как известно, разработка программного обеспечения, в том числе написание кода – работа очень творческая, тут нет каких то единых стандартов и раз и навсегда проторенных дорожек, это как спорт, когда у каждого великого спортсмена со временем вырабатывается свой стиль игры, как изобразительное искусство, когда картины мастера можно узнать по характерному подчерку, как литература, например, если маленький мальчик попал в лапы к нелюдям – это Лукьяненко, а если все люди перемерли и герой расследует преступление, бегая по руинам городов – это Филлип Дик. Так же и с исходным кодом ПО и сопутствующими ему деталями – у каждого профессионального программиста есть свой характерный почерк, который очень много может сказать о своем авторе. И никакие корпоративные шаблоны, типа документов по стилизации кода, использованию характерных языковых конструкций и так далее не может помешать автору кода изменить своему стилю, ибо это сидит уже в подсознании, в подкорке головного мозга. Вот я и попробую, анализируя исходный код трояна zeus, попытаться кое что разузнать о его авторе.
При первом взгляде на сорсы бросается в глаза их предельно четкая структурированность, что говорит о большом опыте автора в разработке ПО. Не заметно никаких следов какой либо системы контроля версий, и это лишний раз подтверждает предположение о том, что это не была утечка исходников от их создателя, а в сеть попал пакет сорсов, который был продан какому-то клиенту. Ведь врятли автору удалось работать 4 года и дожить до версии 2.0.8.9 без source-контроля. 
Для начала хотелось бы отметить, что сам пакет zeus, попавший в мои руки, состоит из нескольких модулей:
common — общие для всех проектов файлы, в которых содержится реализация большинства абстракций, необходимых для работы, таких как менеджер памяти, работа со строками, файловой системой, процессами, потоками, объектами синхронизации и прочее. В общем, набор крайне полезных и нужных базовых сервисов.
client — непосредственно сам вирусный клиент или бот, который проникает и поселяется на компьютерах жертв. Самый большой по объему код находится тут, ибо трояну надо много чего уметь делать.
builder — построитель новых версий вирусного клиента на основе скомпиленного содержимого каталога “client”
bcserver — сервер для работы на дедике, к которому будут бак-коннектится боты.
server[php] – веб интерфейс для управления ботнетом.
bin – немногие 3rdparty, которые использует проект zeus. Все остальные сторонние компоненты были переписаны под zeus API, как то vnc, дизассамблер на движке BeaEngine. В этом каталоге лежат fasm, php, 7zip, upx.
Первое что бросилось в глаза — это билд система. Хотя zeus и собирается под Visual Studio 10, билд система написана на php. Это очень необычно и редко встречающееся решение, так как разработка системы билда на php не свойственно для Windows систем, и вообще не свойственно ни для каких систем. Это может говорить о том, что автор взял уже готовую подобную систему и модифицировал для своих целей. А где он мог ее взять? Только на своей предыдущей или нынешней работе, и скорее всего он участвовал в разработке данной системы.
Код написан почти полностью на С, только там где используются COM интерфейсы, неорхотно используется С++. Хотя автор регулярно пишет TODOшки, что какие то части надо переписать с использованием COM.
Еще раз — я категорически утверждаю, что весь С-код zeus писал один человек, ни о какой команде хакеров, ни о какой передаче исходников zeus разработчикам SpyEye, которым так пугали нас в СМИ, не идет и речи, все стилистически и функционально настолько четко выверено и рассчитано, что даже еще не видя кода до конца, примерно представляешь, что же там будет.
Сам код меня в некотором смысле даже порадовал — никаких больших закомментариных кусков, нет даже не отформатированных кусков, все лаконично, четко и красиво, сразу видно что код регулярно ревьюится автором.
Еще одной отличительной особенностью является высокая степень абстракии кода от системных вызовов и вообще работы с конкретной операционной системой. Почти все, что только можно, вынесено в отдельные программные модули, которые разработаны по единой архитектуре, похожую на структуру классов языка с++. Также удивляет очень высокая степень унификации программных компонентов, многие из них сделаны по единому шаблону, несмотря на крайне различсную функциональность, что говорит о высоком профессионализме автора программы.
Эпилог
Говорят, что у орудий, предназначенных для убийства есть своя потаенная эстетика, изгиб линий и очертания форм предают таким предметам скрытое очарование, вызывающее смесь восхищения и ужаса у наблюдающего их. Схожие чувства я испытал в процессе знакомства с исходниками zeus, этим одним из самых совершенных орудий всеобщей кибернетической эпохи, когда никто не может чувствовать себя в безопасности от невидимых но цепких лап троянов и руткитов. Может, пока Вы читаете эти строки, за Вами пристально следит через vnc один из очередных хозяев ботнета, терпеливо ожидая, пока Вы залогинетесь в свой банковский аккаунт? Но не все так плохо, пример автора zeus говорит нам, что нет ничего невозможного для опытного и целеустремленного одиночки – программиста, пусть он и вынашивает самые низкие и коварные замыслы.
Да прибует с вами хабра-сила! 