GameOver Zeus P2P Malware

Sistemas afetados

• Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7 e 8
• Microsoft Server 2003, Server 2008, Server 2008 R2 e Server 2012

Overview

GameOver Zeus (GOZ), uma variante peer-to-peer (P2P) da família Zeus de banco de roubo de credenciais de malware identificado em setembro de 2011, [1] utiliza uma infra-estrutura de rede descentralizada de computadores pessoais e servidores de web para executar command- e-controle. O Departamento de Estados Unidos de Segurança Interna (DHS), em colaboração com o Bureau Federal de Investigações (FBI) e do Departamento de Justiça (DOJ), está lançando este alerta Técnico para fornecer mais informações sobre a botnet Zeus GameOver.

Descrição

GOZ, que muitas vezes é propagado através de spam e mensagens de phishing, é usado principalmente por cibercriminosos para colher informações bancárias, como credenciais de login, a partir do computador da vítima. [2] Os sistemas infectados também pode ser usado para se envolver em outras atividades maliciosas, como o envio de spam ou participar de (DDoS) ataques distribuídos de negação de serviço. 

Variantes anteriores do malware Zeus utilizou uma infra-estrutura de comando e controle centralizado (C2) botnet para executar comandos. Servidores C2 centralizados são rotineiramente rastreadas e bloqueadas pela comunidade de segurança. [1] GOZ, no entanto, utiliza uma rede P2P de máquinas infectadas para se comunicar e distribuir dados, e emprega criptografia para evitar a detecção. Estes pares actuam como uma rede de proxy maciça que é utilizada para propagar actualizações binários, distribuir os ficheiros de configuração, e para enviar os dados roubados. [3] Sem um único ponto de falha, a resiliência da infra-estrutura P2P de GOZ faz esforços de remoção mais difícil. [1]

Impacto

Um sistema infectado com GOZ podem ser utilizados para enviar spam, participar de ataques DDoS, e as credenciais dos usuários colheita para serviços on-line, incluindo serviços bancários.

Solução

Os usuários são aconselhados a tomar as seguintes medidas para remediar infecções Goz:

• Usar e manter o software anti-vírus - Anti-virus software reconhece e protege o seu computador contra vírus mais conhecidos. É importante para manter o seu software anti-vírus up-to-date (ver Entender Software Anti-Virus para mais informações).
• Altere suas senhas - Suas senhas originais podem ter sido comprometidas durante a infecção, então você deve mudá-las (veja Escolhendo e Protegendo senhas para mais informações).
• Mantenha seu sistema operacional e aplicativos de software up-to-date - Instale patches de software para que os invasores não possam tirar proveito dos problemas conhecidos ou vulnerabilidades. Muitos sistemas operacionais oferecem atualizações automáticas. Se esta opção estiver disponível, você deverá ativá-lo (ver Entender Patches para mais informações).
• Use ferramentas anti-malware - Usando um programa legítimo que identifica e remove o malware pode ajudar a eliminar uma infecção. Os usuários podem considerar empregar uma ferramenta de remediação (exemplos abaixo) que vai ajudar com a remoção de GOZ de seu sistema.

F-Secure      

http://www.f-secure.com/en/web/home_global/online scanner (link é externo)(Windows Vista, 7 e 8)

http://www.f-secure.com/en/web/labs_global/removal-tools-/carousel/view/142 (link é externo)(Windows XP)

Heimdal

http://goz.heimdalsecurity.com/ (link é externo)(Microsoft Windows XP, Vista, 7, 8 e 8.1)   

McAfee

www.mcafee.com/stinger (link é externo)  (Windows XP SP2, 2003 SP2, Vista SP1, 2008, 7 e 8)

Microsoft

http://www.microsoft.com/security/scanner/en-us/default.aspx (link é externo)(Windows 8.1, Windows 8, Windows 7, Windows Vista e Windows XP) 

Sophos

http://www.sophos.com/VirusRemoval (link é externo)(Windows XP (SP2) e acima) 

Symantec

http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network (link é externo)  (Windows XP, Windows Vista e Windows 7)

Trend Micro

http://www.trendmicro.com/threatdetector (link é externo)(Windows XP, Windows Vista, Windows 7, Windows 8 / 8.1, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2)

FireEye e Fox-IT

www.decryptcryptolocker.com (link é externo)FireEye e Fox-IT criaram um portal web que afirmam restaurar / descriptografar os arquivos das vítimas CryptoLocker. US-CERT não realizou qualquer avaliação desta afirmação, mas está fornecendo um link para permitir que as pessoas façam sua própria determinação de adequabilidade para as suas necessidades. No momento, US-CERT não tem conhecimento de qualquer outro produto que reivindica uma funcionalidade semelhante. The acima são apenas exemplos e não constituem uma lista exaustiva. O Governo dos Estados Unidos não endossa ou apoiar qualquer produto ou fornecedor em particular.

• GOZ tem sido associado com o malware CryptoLocker. Para mais informações sobre este malware, por favor visite o ransomware infecções CryptoLocker página.

Referências

• [1] altamente resilientes Botnets Peer-to-Peer está aqui: Uma Análise do Gameover Zeus(link é externo)
• [2] Malware Alvos Contas Bancárias
• [3] O ciclo de vida de Peer-to-Peer (Gameover) ZeuS(link é externo)

Revisões

• Publicação Inicial - 02 de junho de 2014
• Adicionado McAfee - 06 de junho de 2014
• Adicionado FireEye e Fox-IT portal web para a seção Soluções - 15 de agosto de 2014