Trots nyligen genomförda gripanden av kriminella gruppmedlemmar knutna till Zeus-botnätet fortsätter nya skadliga program dyka upp som stöder spridningen av Zeus. Zeus har blivit ett av de vanligaste spionprogrammen på den svarta onlinemarknaden.

I början av oktober upptäcktes Virus. Win32.Murofet som genererar domännamn som används för att sprida Zeus-botnätet. Länkarna till nedladdningsbara och exekverbara Zeus-filer skapas med hjälp av aktuellt datum och tid på offrets dator. Viruset kommer över systemets år, månad, dag och minut för att sedan skapa två dubbelord till vilka en populär toppdomän läggs till. På slutet adderas ”/forum”.

En annan tydlig trend i oktober var den fortsatt ökade populariteten av falska arkivprogram. Dessa program maskerar sig ofta som populära gratisprogram eller verktyg för att ta bort licensskydd från lagliga mjukvaruprogram. När en användare har startat det falska arkivprogrammet ombeds denne skicka ett SMS till ett betalnummer för att få tillgång till innehållet i ett arkiv. I de flesta fall får användaren, efter att ha skickat SMS:et, endast instruktioner om hur de ska använda en torrent-spårare och en länk till denna.

– Denna sorts bedrägerier är relativt nya och uppmärksammades först för några månader sedan, säger Vyacheslav Zakorzhevsky. Ett stort antal kriminella grupper har fått upp ögonen för falska arkivprogram på sistone och över en miljon försök att infektera datorer har upptäckts av Kaspersky Lab varje månad sedan juli i år.

Experter på Kaspersky Lab uppmanar användare att vara försiktiga när de surfar på nätet och att hålla sig borta från webbsidor som ser misstänkta ut. Trojan.JS.FakeUpdate.bp, ett skript från familjen FakeUpdate som är vanligt på porrsidor, är bland de mest förekommande skadliga programmen just nu.

När användare klickar på ett videoklipp dyker ett popup-fönster upp som säger att en ny mediespelare måste installeras för att videoklippet ska kunna visas. Mediespelaren innehåller en trojan som knyter samman ett flertal populära sidor med en lokal IP-adress och installerar en lokal webbserver på den infekterade datorn. Varje gång användaren försöker besöka en av dessa sidor dyker en sida upp i webbläsaren som kräver att man betalar för att titta på pornografiskt material.

Källa: Kaspersky Lab