Обнаружен вариант кода Zeus, работающий только на быстрых компьютерах
26.11.2010
Независимые специалисты по информационной безопасности сообщают об обнаружении экзотического варианта интернет-червя Zeus, который инфицирует только "достаточно быстрые" компьютеры, чтобы потом включать их в состав своей бот-сети для атак и рассылки спама. В финской антивирусной компании F-Secure говорят, что на их памяти - это первый вариант вредоносного кода, который проявляет требования к скорости центрального процессора компьютера.
По словам Тимо Хирвонена, аналитика F-Secure, обнаружен экзотический вариант червя можно сказать случайно - компания для тестирования выловленных вирусов использовала виртуальные машины, созданные при помощи общедоступных технологий виртуализации. Эти системы могут быть запущены на сколь угодно быстром компьютере, но в настройках они, чаще всего, позволяют выставить жесткие лимиты на доступное процессорное время, объем ОЗУ-памяти и прочие параметры.
В итоге, было выяснено, что вариант Zeus работает как злонамеренный код только в том случае, если частота процессора составляет 2 ГГц и выше, на остальных компьютерах, к примеру нетбуках, он будет работать в режиме дебаггера.
"На компьютерах с частотой ниже 2 ГГц злонамеренный код работает интересно - он переключается в режим отладки и не выполняет реального кода, а также не инфицирует систему. Позже я протестировал этот код на ноутбуке IBM T42, где тактовая частота процессора составляет 1,86 ГГц, и код отказался работать здесь, так как система не была достаточно быстрой для этого", - говорит Хирвонен.
По его словам, с чем связана такая избирательность пока сказать трудно, но скорее всего, в планы злоумышленников входит создание нечто вроде "премиум-ботнета", где будут работать только современные компьютеры, которые можно использовать для специфических вычислений, например для взлома криптографических систем, а также иных работ, требующих интенсивных расчетов.
