ZeusVM прячет информацию в JPG-файлах
Новый вариант известного банковского трояна Zeus/Zbot под названием ZeusVM (https://www.virustotal.com/en/file/75352a45b67b3a7f91e237cc5dc2de79f52e0e13b81fe10e289199477f2d46c9/analysis/) использует технику стеганографии, чтобы скрыть свои рабочие файлы и избежать автоматического обнаружения. В качестве контейнера для сокрытия выбран формат JPEG.
Если загрузить «зараженную» картинку в поиск картинок Google, то можно найти в интернете оригинал с такими же длиной и шириной, но меньшего размера. Остается сравнить оригинальное и модифицированное изображение, чтобы заметить разницу (http://blog.malwarebytes.org/security-threat/2014/02/hiding-in-plain-sight-a-story-about-a-sneaky-banking-trojan/).
Затем в hex-редакторе выделяем «лишние» байты. Для расшифровки данных придется воспользоваться дебаггером вроде OllyDbg. Как выясняется, код зашифрован в Base64, после чего по нему прошлись с помощью RC4 и XOR. Дебаггер позволяет вернуть код к исходному виду и увидеть список банков и финансовых организаций, против клиентов которых ZeusVM осуществляет атаку типа MiTM. Скажем, троян подменяет определенные веб-элементы при осуществлении платежей через интернет-банк после того, как пользователь осуществит авторизацию со своего компьютера.
Это уже не первый раз, когда злоумышленники используют стеганографию и прячут информацию в графических изображениях. Так, недавно антивирусная компания Sucuri приводила пример, как зловред хранит вредоносную нагрузку в метаданных файла PNG (http://www.xakep.ru/post/61999/).
