ZeuS - программное обеспечение для кражи личных данных пользователей с удаленных систем Windows. На
простом языке "Троян", "Бэкдор", "Вирус". В дальнейшем он будет называться "Бот".
Бот полностью основан на перехвате WinAPI в UserMode (Ring3), это значит, что бот не использует каких-либо драйверов и обращений в Ring0. Эта особенность дает возможность запускаться боту даже из Гостевых учетных записей Windows. Плюс это гарантирует повышенную стабильность, и адаптивность к последующим версиям Windows.
=============
= F.A.Q. =
=============
Q: Что значат цифры в версии?
A: a.b.c.d
a - полное изменение в устройстве бота.
b - крупные изменения, которые вызывают полную или частичную несовместимость с предыдущими
версиями.
c - исправления ошибок, доработки, добавление возможностей.
d - номер чистки от антивирусов для текущей версии a.b.c.
Q: Каким образом генерируется Bot ID?
A: Bot ID состоит из двух частей: %name%_%number%, где name - имя компьютера (результат от
GetComputerName), а number - некое число, генерируемое на основе некоторых уникальных данных ОС.
Q: Почему трафик шифруется симметричным методом шифрования (RC4), а не асимметричным (RSA)?
A: Потому что, в использовании сложных алгоритмов нет смысла, шифрование нужно только для скрытия
трафика. Плюс в RSA только, в том что не зная ключа находящегося в Панели управления, не будет
возможности эмулировать ее ответы. А какой смысл защищаться от этого (с глобальной точки
зрения)?
Q: ZeuS использует DLL для своей работы?
A: Существует только один исполняемый PE файл (exe). Dll, sys и т.д. не когда не было и врятли когда-либо будет. Этот миф пошел в результате того, что в некоторых версия бота для хранения настроек, используются файлы с такими расширениями.
Q: ZeuS использует COM (БХО) для перехвата Internet Explorer?
A: Всегда для этого использовался перехват WinAPI из wininet.dll.
PS: Дальнейшее обсуждение бота Zeus прошу всех вести в этой теме. FAQ будет дополняться по мере возникновения вопросов
Команды ботам
reboot Перезагрузить комп.
kos убить ОСь.
shutdown выключить комп.
bc_add [service] [ip] [port] Добавить бэкконнект [service] используя сервер вида [ip]:[port].
bc_del [service] [ip] [port] тоже самое только достпуно использование "маски".
block_url Запретить доступ к сайту(доступна ...mepage [url] Задать домашнюю страницу для ИЕ.
простом языке "Троян", "Бэкдор", "Вирус". В дальнейшем он будет называться "Бот".
Бот полностью основан на перехвате WinAPI в UserMode (Ring3), это значит, что бот не использует каких-либо драйверов и обращений в Ring0. Эта особенность дает возможность запускаться боту даже из Гостевых учетных записей Windows. Плюс это гарантирует повышенную стабильность, и адаптивность к последующим версиям Windows.
=============
= F.A.Q. =
=============
Q: Что значат цифры в версии?
A: a.b.c.d
a - полное изменение в устройстве бота.
b - крупные изменения, которые вызывают полную или частичную несовместимость с предыдущими
версиями.
c - исправления ошибок, доработки, добавление возможностей.
d - номер чистки от антивирусов для текущей версии a.b.c.
Q: Каким образом генерируется Bot ID?
A: Bot ID состоит из двух частей: %name%_%number%, где name - имя компьютера (результат от
GetComputerName), а number - некое число, генерируемое на основе некоторых уникальных данных ОС.
Q: Почему трафик шифруется симметричным методом шифрования (RC4), а не асимметричным (RSA)?
A: Потому что, в использовании сложных алгоритмов нет смысла, шифрование нужно только для скрытия
трафика. Плюс в RSA только, в том что не зная ключа находящегося в Панели управления, не будет
возможности эмулировать ее ответы. А какой смысл защищаться от этого (с глобальной точки
зрения)?
Q: ZeuS использует DLL для своей работы?
A: Существует только один исполняемый PE файл (exe). Dll, sys и т.д. не когда не было и врятли когда-либо будет. Этот миф пошел в результате того, что в некоторых версия бота для хранения настроек, используются файлы с такими расширениями.
Q: ZeuS использует COM (БХО) для перехвата Internet Explorer?
A: Всегда для этого использовался перехват WinAPI из wininet.dll.
PS: Дальнейшее обсуждение бота Zeus прошу всех вести в этой теме. FAQ будет дополняться по мере возникновения вопросов
Команды ботам
reboot Перезагрузить комп.
kos убить ОСь.
shutdown выключить комп.
bc_add [service] [ip] [port] Добавить бэкконнект [service] используя сервер вида [ip]:[port].
bc_del [service] [ip] [port] тоже самое только достпуно использование "маски".
block_url Запретить доступ к сайту(доступна ...mepage [url] Задать домашнюю страницу для ИЕ.
Last edited:
