Come rilevare il cosiddetto "inosservabile" Gameover Zeus?

I media sono in preda a una frenesia alimentare. Tuttavia, il malware in questione ha diversi anni. Tutto ciò è iniziato con l'FBI che soffiava la propria tromba per impossessarsi di una botnet (che aveva lavorato per diversi anni).

Quindi la National Crime Agency del Regno Unito ha deciso di utilizzarla come campagna di sensibilizzazione pubblica per cercare di convincere le persone a migliorare la sicurezza e la sicurezza dei loro PC.

Poi la stampa ha capito e ha fatto la solita cosa per stravolgerlo completamente dal riconoscimento.

In effetti, le varianti successive di questo malware sono, almeno in parte, non dipendenti dai loro server di comando e controllo. Sono in grado di parlare peer-to-peer.

Quindi il rischio è gonfiato dalla stampa. Tuttavia, questo non vuol dire che questo tipo di malware non presenti un pericolo reale e presente per chiunque usi Internet - lo fa.

Quindi le solite attenuazioni dovrebbero essere applicate:

• Un buon software anti-malware con aggiornamenti rapidi (Microsoft AV sembra essere recentemente passato al limite accettabile) - Avast, ecc.
• Limiti nell'esecuzione di file eseguibili - questa potrebbe essere la migliore protezione a tutti i costi. Sfortunatamente, non è facile da realizzare al di fuori dell'azienda e anche in azienda, infastidisce le persone! Solo gli eseguibili riconosciuti e autorizzati dovrebbero essere in grado di eseguire.
• All'esterno dell'azienda, le precauzioni necessarie sono l'esecuzione di Microsoft EMET e l'esecuzione come utente standard, non un utente con diritti di amministratore.

Uno sweep occasionale con strumenti anti-malware alternativi e strumenti di rilevamento dei rootkit può anche essere ragionevole sebbene molti dei fornitori di quelli che erano solo strumenti AV ora includano anche controlli aggiuntivi.

Oh, e all'interno di un'azienda, dovrebbero esserci anche ulteriori controlli ai confini della rete utilizzando gli strumenti di gestione delle minacce in grado di rilevare attività sospette sia in entrata che in uscita dalla rete e che bloccano e ampli; segnalandolo.

Infine, il malware in questione è sicuramente individuabile dagli strumenti giusti. Una rapida ricerca lo rivelerà.

Oh i media ... perché non c'è tumulto riguardo ad altri bot? GameoverZeus è semplicemente un Zeus migliorato. Viene eseguito come rete P2P (peer to peer) e gestito da un pannello di controllo HTTP. Il codice sorgente di Zeus può essere trovato con una ricerca su Google, ecco come è successo. È uno dei bot, se non i più sofisticati sul mercato accanto al TDSS. È persino in grado di aggirare l'autenticazione a due fattori, insieme a tutti i plugin che vedresti in bot come SpyEye, ICE9, Carberp e Citadel.

C'è anche una funzione opzionale del rootkit che rende molto difficile il rilevamento e la rimozione. L'antivirus non lo rileva. Queste persone non sono stupide, in realtà è più facile di quanto pensi di nascondere qualcosa da AV. È sciocco dire che non si può ignorare e disabilitare alcun antivirus. È meglio di niente però.

La risposta è che è totalmente gonfiato. Questo bot è in grado di fare ciò che l'originale Zeus ha fatto nel 2008. È stato migliorato per stare al passo con i tempi. Julian ha offerto alcune ottime informazioni sulla protezione di te stesso, vorrei iniziare con quello.

Sbagliato, sono sotto attacco dal 27 aprile. Zues ha cambiato la posizione di malwarebytes premimium l'ha modificata in modo da non essere rilevata (questo dopo aver disinstallato mbam.exe e reinstallato con un nuovo registro, ha riscritto mcafee scansionato e cancellate 239 chiavi di registro, comportamento modificato di norton, windows firewall e windows defender per assicurarmi che non possa accedere ad alcuni siti e soprattutto non mi permetta di scaricare alcun programma o scanner potenziale con la capacità di rilevarlo !! A quanto pare ho bisogno contattare il mio amministratore di sistema per quel privilegio ... io dovrei essere lui!) localizzare l'host non è così semplice come descrivono queste persone disinformate! Ho porte aperte fino a 997000. Ciò che rende difficile è in realtà tutto ciò che ha la capacità di condivisione (che non posso spegnere, quando riavvio il computer e Zeus si trova in quasi tutti i miei file .exe) 2 computer, 2 iPhone (5c e 5s) sì Genius Bar "non ci credeva", 2 ricevitori TV diretti, smart tv e la prima perdita di memoria proveniva dalla mia stampante wireless. Oh sì, anche Zeus ha portato con sé il verme del conficker. Ma quello che non capisci è che Zues è un SERVER WEB ALTAMENTE potente e innovativo, non solo un Trojan o un worm casuali. Odio essere reale ma l'FBI non sta solo soffiando fumo sulla tua coda! Http my but Zues può alterare e creare TUTTI i tuoi certificati, diventa una CA! Ecco le informazioni sul mio router:

Informazioni TLS

Protocollo minimo supportato: SSLv3 Protocollo massimo supportato: TLSv1.2

Crittografie

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384: abilitato TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256: abilitato TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA: abilitato TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA: abilitato TLS_ECDHE_ECDSA_WITH_RC4_128_SHA: abilitato TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA: abilitato TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384: abilitato TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256: abilitato TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA: abilitato TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA: abilitato TLS_ECDHE_RSA_WITH_RC4_128_SHA: abilitato TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA: abilitato TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384: abilitato TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256: abilitato TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384: abilitato TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256: abilitato TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA: abilitato TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA: abilitato TLS_ECDH_ECDSA_WITH_RC4_128_SHA: abilitato TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA: abilitato TLS_ECDH_RSA_WITH_AES_256_CBC_SHA: abilitato TLS_ECDH_RSA_WITH_AES_128_CBC_SHA: abilitato TLS_ECDH_RSA_WITH_RC4_128_SHA: abilitato TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA: abilitato TLS_RSA_WITH_AES_256_CBC_SHA256: abilitato TLS_RSA_WITH_AES_128_CBC_SHA256: abilitato TLS_RSA_WITH_AES_128_CBC_SHA: abilitato SSL_RSA_WITH_RC4_128_SHA: abilitato SSL_RSA_WITH_RC4_128_MD5: abilitato TLS_RSA_WITH_AES_256_CBC_SHA: abilitato SSL_RSA_WITH_3DES_EDE_CBC_SHA: abilitato TLS_DHE_RSA_WITH_AES_128_CBC_SHA256: abilitato TLS_DHE_RSA_WITH_AES_256_CBC_SHA256: abilitato TLS_DHE_RSA_WITH_AES_128_CBC_SHA: abilitato TLS_DHE_RSA_WITH_AES_256_CBC_SHA: abilitato SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA: abilitato TLS_DH_anon_WITH_AES_128_CBC_SHA256: abilitato TLS_DH_anon_WITH_AES_256_CBC_SHA256: abilitato TLS_DH_anon_WITH_AES_128_CBC_SHA: abilitato TLS_DH_anon_WITH_AES_256_CBC_SHA: abilitato SSL_DH_anon_WITH_RC4_128_MD5: abilitato SSL_DH_anon_WITH_3DES_EDE_CBC_SHA: abilitato TLS_ECDHE_ECDSA_WITH_NULL_SHA: abilitato TLS_ECDHE_RSA_WITH_NULL_SHA: abilitato TLS_ECDH_ECDSA_WITH_NULL_SHA: abilitato TLS_ECDH_RSA_WITH_NULL_SHA: abilitato TLS_PSK_WITH_AES_256_CBC_SHA384: abilitato TLS_PSK_WITH_AES_128_CBC_SHA256: abilitato TLS_PSK_WITH_AES_256_CBC_SHA: abilitato TLS_PSK_WITH_AES_128_CBC_SHA: abilitato TLS_PSK_WITH_RC4_128_SHA: abilitato TLS_PSK_WITH_3DES_EDE_CBC_SHA: abilitato TLS_PSK_WITH_NULL_SHA384: abilitato TLS_PSK_WITH_NULL_SHA256: abilitato TLS_PSK_WITH_NULL_SHA: abilitato TLS_RSA_WITH_NULL_SHA256: abilitato SSL_RSA_WITH_NULL_SHA: abilitato SSL_RSA_WITH_NULL_MD5: abilitato