Direktmeddelanden Snabbar upp datafelets fara

En av de mer sofistikerade bitarna av skadlig kod i omlopp har fått en uppgradering som gör det möjligt för cyberkriminella att agera ännu snabbare när de har stulit data från en dator.

Enligt säkerhetsföretaget RSA, Zeus Trojan - klandrat för att möjliggöra otaliga online bankkonto heists - använder nu en snabbmeddelandekomponent som meddelar hackare omedelbart när de har fångat någons autentiseringsuppgifter. Det kan möjliggöra snabb användning av tidskänslig information, till exempel engångslösenord som ofta används i internetbank.

Zeus är inte den första delen av skadlig programvara som använder direktmeddelanden, noterar RSA i sin onlinebedrägerierapport för augusti. Ett annat lösenordsstödsprogram som heter Sinowal har visat sig använda det också under 2008.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Zeus skickar loggar och lösenord till en dator. en fjärrserver, vilken hackaren måste komma åt och sortera igenom. RSA fann att flera varianter av Zeus har en Jabber snabbmeddelandemodul. Jabber-projektet - liksom andra tjänster som Googles g-postchattfunktion - använder XMPP (Extensible Messaging and Presence Protocol), en öppen standard för snabbmeddelanden.

Hackarna skapade två Jabber-konton, en till skicka information och en att ta emot. När Zeus får inloggningar skickar den dem till en fjärrserver. Jabber-modulen letar efter efterlysningsuppgifter för specifika finansinstitut och skickar sedan informationen till hackern genom snabbmeddelande, säger RSA.

Antalet datorer i USA som ensam smittats med Zeus beräknades förra månaden av säkerhetsbolaget Damballa vid Omkring 3,6 miljoner datorer, vilket gör det till ett av de mest utbredda skadliga programmen och en mycket stor botnet.

Användare kan smitta om de inte har installerat de senaste säkerhetsuppdateringarna på sin dator och besöker en webbplats som är utformad för att Jaga automatiskt efter programvarans sårbarheter och leverera sedan skadlig programvara. Zeus kan också oavsiktligt installeras på en dator om en person luras på att öppna en e-postbilaga som innehåller Zeus.

Zeus, som tros vara en rysk hackers produkt som heter AZ, säljs i underjordiska forum till spirande cyberkriminella, enligt ett annat säkerhetsföretag, Secureworks. Det kan anpassas enligt köparens behov. Zeus kan till exempel kodas för att bara logga in inloggningsuppgifterna för en viss specifik lista över webbplatser.

"Användarvänligheten av Zeus Crimeware verktygssats för att enskilda ska skapa egna skräddarsydda trojanska botnät har betydt att det har blivit ett gynnsamt verktygssätt för brottslingar på grundnivå att engagera sig i den underjordiska ekonomin ", skriver Peter Coogan i Symantec och skriver på ett av bolagets bloggar. "Den större tillgängligheten av denna verktygslåda på underjordiska forum så sent som möjligt har också lett till en ökning av användningen."

Zeus har varit på radar av säkerhetsproffs ett tag och en grupp driver en webbplats som spårar Zeus infektioner och kommando- och kontrollservrar, som kan utfärda instruktioner till infekterade datorer.

ZeuS Tracker räknar nu 802 skadliga värdar med Zeus. Organisationen publicerar också en blocklista som administratörer kan använda för att säkerställa att personer i deras nätverk inte har tillgång till farliga Zeus-relaterade domäner.