Gameover Zeus malware működése és eltávolítása

A Gameover Zeus a korábbi ZeuS trójai alapjain létrehozott peer-to-peer botnet. Feltehetőleg a Cutwail botnet, spam és phishing üzenetei felelősek a terjedéséért.

A ZeuS-szal ellentétben a Gameover titkosított peer-to-peer kommunikációt használ a vezérlő szerver és a csomópontok között, ezáltal csökkentve a felderítés esélyét.

Működése

A Gameover-t nagyrészt banki csalásokra és a Cryptolocker terjesztésére használják. Ezen kívül használhatják Distributed Denial of Service (DDoS) támadásokra továbbá spam üzenetek küldésére.

A Bitdefender két verzióját azonosította be a Gameover-nek: az egyik napi 1000 domain-t, a másik napi 10000-et generál.

A korábbi ZeuS verziókhoz képest (központilag vezérelt C&C szerver a parancsok végrehajtója), a Gameover p2p hálózatot és titkosítást használva próbál észrevétlen maradni. Ez a hálózat egy proxy-ként üzemel, amelyen a bináris frissítéseket, a konfigurációs fájlokat és az eltulajdonított adatokat továbbítják.

Eltávolítása

A Symantec által közzétett Trojan.Zbot Removal Tool képes eltávolítani a fertőzést.

FONTOS! Az eszköznek két verziója van: az egyik a 32 bites, a másik a 64 bites rendszerek megtisztítására szolgál. Győződjön meg arről, hogy milyen rendszert használ, mielőtt megkezdi az eltávolítási folyamatot.

  • A megfelelő verzió letöltése (32bites64bites verzió letöltése)
  • Zárjon be minden futó programot
  • Ha Windows XP-t futtat, kapcsolja ki a Rendszer Helyreállítása szolgáltatást
  • Futtassa a letöltött programot
  • Olvassa el és fogadja el a felhasználási feltételeket
  • Kattintson a “Start” gombra
  • A program megkéri, hogy indítsa újra a rendszert. Kattintson az “Igen” / “Yes” gombra. (Többszöri újraindítás is előforulhat)
  • A program végeztével megkérdezi, hogy kívánja-e az összegyűjtött adatokat megtekinteni, valamint a Norton Power Eraser-t futtatni
  • Kattintson az “Igen” / “Yes” gombra a Norton Power Eraser indításához (Magyar nyelvű leírás)

Megelőzés

  • Tűzfal használata és beállítása a számítógépen
  • Software-ek esetében a legfrissebb verzió használata
  • Kerüljük az ismeretlen forrásból származó futtatható állományokat
  • Naprakész vírusirtó használata
  • Felhasználói jogok korlátozása
  • Ismeretlen linkek, társítások, fájlok elővigyázatos megnyitása
  • Felkészülés social engineering (rosszindulatú megtévesztő technikák információszerzés céljából) támadásokkal szemben
  • Erős jelszavak használata
  • Anti-Malware eszközök használata
  • Operációs rendszer frissítése

Javasolt egyéb software-ek:

Linkek:

  • https://www.us-cert.gov/ncas/alerts/TA14-150A
  • http://en.wikipedia.org/wiki/Gameover_ZeuS
  • http://avirus.hu/gameover-zeus/
  • http://malwaretips.com/blogs/zeus-trojan-virus/
  • https://support.norton.com/sp/hu/hu/home/current/solutions/v69675421_EndUserProfile_hu_hu?OpenDocument&src=smr2011