¿Cómo detectar el llamado Gameover Zeus "indetectable"?

Los medios de comunicación están en un frenesí de alimentación por esto. Sin embargo, el malware en cuestión tiene varios años. Esto comenzó, creo que con el FBI haciendo sonar su propia trompeta al hacerse cargo de una red de bots (que había estado funcionando durante varios años).

Luego, la Agencia Nacional contra el Crimen del Reino Unido decidió utilizarla como una campaña de concientización pública para intentar que las personas mejoren la seguridad de sus PC.

Luego, la prensa lo entendió e hizo lo habitual de retorcerlo totalmente fuera de reconocimiento.

De hecho, las últimas variantes de este malware no son, al menos hasta cierto punto, ni siquiera dependientes de sus servidores de comando y control. Son capaces de hablar de igual a igual.

Entonces el riesgo está inflado por la prensa. Sin embargo, eso no quiere decir que este tipo de malware no presente un peligro real y presente para cualquiera que use Internet, sí.

Por lo tanto, se deben aplicar las mitigaciones habituales:

• Buen software antimalware con actualizaciones rápidas (Microsoft AV parece haberse caído del límite de aceptable recientemente) - Avast, etc.
• Límites de ejecución de ejecutables: esta puede ser la mejor protección en todos los aspectos. Desafortunadamente, no es fácil de lograr fuera de la empresa y amp; Incluso en la empresa, molesta a la gente! Solo deben ejecutarse los ejecutables reconocidos y autorizados.
• Fuera de la empresa, las precauciones razonables son ejecutar Microsoft EMET y ejecutarse como un usuario estándar, no como un usuario con derechos de administrador.

Un barrido ocasional con herramientas anti-malware alternativas y herramientas de detección de rootkit también puede ser sensato, aunque muchos de los proveedores de lo que eran solo herramientas AV ahora también incluyen controles adicionales.

Ah, y dentro de una empresa, también deberían realizarse comprobaciones adicionales en los límites de la red mediante el uso de herramientas de administración de amenazas que pueden detectar actividades sospechosas que entran y salen de la red y bloquean & reportándolo.

Finalmente, el malware en cuestión es, sin duda, detectable por las herramientas adecuadas. Una búsqueda rápida revelará eso.

Oh, medios de comunicación ... ¿por qué no hay alboroto sobre otros bots? GameoverZeus es simplemente un Zeus mejorado. Se ejecuta como una red P2P (igual a igual) y es operado por un panel de control HTTP. El código fuente de Zeus se puede encontrar con una búsqueda en Google, y así fue como sucedió. Es uno de, si no los bots más sofisticados del mercado, junto a TDSS. Incluso puede omitir la autenticación de dos factores, junto con todos los complementos que verías en bots como SpyEye, ICE9, Carberp y Citadel.

También hay una función de rootkit opcional para que sea muy difícil de detectar y eliminar. El antivirus no lo detectará. Estas personas no son tontas, en realidad es más fácil de lo que crees ocultar algo de AV. Es una tontería decir que no se puede evitar y desactivar ningún antivirus. Aunque es mejor que nada.

La respuesta es que está totalmente inflada. Este bot puede hacer lo que hizo el Zeus original en 2008. Se mejoró para mantenerse al día con los tiempos. Julian ofreció una muy buena información sobre cómo protegerse, yo empezaría con eso.

Incorrecto He estado bajo ataque desde el 27 de abril. Zues cambió la ubicación de malwarebytes premimium. La edición la cambió para que no se detecte (esto después de desinstalar mbam.exe y reinstalarlo con un nuevo registro, reescribió mcafee escaneado y Se eliminaron 239 claves de registro, se modificó el comportamiento de norton, el cortafuegos de Windows y el defensor de Windows para asegurarme de que no puedo acceder a ciertos sitios y, especialmente, ¡no me permite descargar ningún programa o escáner potencial con la capacidad de detectarlo! Aparentemente necesito contactar al administrador de mi sistema para ese privilegio ... ¡Se supone que debo ser él!) ¡la ubicación del host no es tan simple como lo describen estas personas desinformadas! Tengo puertos abiertos hasta el 997000. Lo que lo hace difícil es realmente lo que todo tiene la capacidad de compartir (que no puedo apagar, cuando reinicio la computadora y Zeus se encuentra en casi todos mis archivos .exe) 2 computadoras, 2 iPhones (5c y 5s) sí Genius Bar "tampoco lo podía creer", 2 receptores directos de TV, Smart TV y la primera pérdida de memoria provino de mi impresora inalámbrica. Oh sí, Zeus también trajo al gusano conficker con él. Pero lo que no entiendes es que Zues es un SERVIDOR WEB ALTAMENTE poderoso e innovador, no solo un troyano o gusano al azar. ¡Odio ser real, pero el FBI no solo está echando humo por la cola! Http my but Zues puede alterar y crear TODOS tus certificados, ¡se convierte en un CA! Aquí está la información de mi enrutador:

Información TLS

Protocolo mínimo soportado: SSLv3 Protocolo máximo admitido: TLSv1.2

Cifrados

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384: habilitado TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256: habilitado TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA: habilitado TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA: habilitado TLS_ECDHE_ECDSA_WITH_RC4_128_SHA: habilitado TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA: habilitado TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384: habilitado TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256: habilitado TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA: habilitado TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA: habilitado TLS_ECDHE_RSA_WITH_RC4_128_SHA: habilitado TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA: habilitado TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384: habilitado TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256: habilitado TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384: habilitado TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256: habilitado TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA: habilitado TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA: habilitado TLS_ECDH_ECDSA_WITH_RC4_128_SHA: habilitado TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA: habilitado TLS_ECDH_RSA_WITH_AES_256_CBC_SHA: habilitado TLS_ECDH_RSA_WITH_AES_128_CBC_SHA: habilitado TLS_ECDH_RSA_WITH_RC4_128_SHA: habilitado TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA: habilitado TLS_RSA_WITH_AES_256_CBC_SHA256: habilitado TLS_RSA_WITH_AES_128_CBC_SHA256: habilitado TLS_RSA_WITH_AES_128_CBC_SHA: habilitado SSL_RSA_WITH_RC4_128_SHA: habilitado SSL_RSA_WITH_RC4_128_MD5: habilitado TLS_RSA_WITH_AES_256_CBC_SHA: habilitado SSL_RSA_WITH_3DES_EDE_CBC_SHA: habilitado TLS_DHE_RSA_WITH_AES_128_CBC_SHA256: habilitado TLS_DHE_RSA_WITH_AES_256_CBC_SHA256: habilitado TLS_DHE_RSA_WITH_AES_128_CBC_SHA: habilitado TLS_DHE_RSA_WITH_AES_256_CBC_SHA: habilitado SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA: habilitado TLS_DH_anon_WITH_AES_128_CBC_SHA256: habilitado TLS_DH_anon_WITH_AES_256_CBC_SHA256: habilitado TLS_DH_anon_WITH_AES_128_CBC_SHA: habilitado TLS_DH_anon_WITH_AES_256_CBC_SHA: habilitado SSL_DH_anon_WITH_RC4_128_MD5: habilitado SSL_DH_anon_WITH_3DES_EDE_CBC_SHA: habilitado TLS_ECDHE_ECDSA_WITH_NULL_SHA: habilitado TLS_ECDHE_RSA_WITH_NULL_SHA: habilitado TLS_ECDH_ECDSA_WITH_NULL_SHA: habilitado TLS_ECDH_RSA_WITH_NULL_SHA: habilitado TLS_PSK_WITH_AES_256_CBC_SHA384: habilitado TLS_PSK_WITH_AES_128_CBC_SHA256: habilitado TLS_PSK_WITH_AES_256_CBC_SHA: habilitado TLS_PSK_WITH_AES_128_CBC_SHA: habilitado TLS_PSK_WITH_RC4_128_SHA: habilitado TLS_PSK_WITH_3DES_EDE_CBC_SHA: habilitado TLS_PSK_WITH_NULL_SHA384: habilitado TLS_PSK_WITH_NULL_SHA256: habilitado TLS_PSK_WITH_NULL_SHA: habilitado TLS_RSA_WITH_NULL_SHA256: habilitado SSL_RSA_WITH_NULL_SHA: habilitado SSL_RSA_WITH_NULL_MD5: habilitado