Специалисты компании Symantec, изучившие свойства новой разновидности Zeus, сообщают, что, проникнув в систему типичным для троянской программы способом (обычно ZeuS распространяется через спам), этот троян пытается обнаружить в неком определенном месте исполняемые файлы. В каждый из этих файлов троян внедряет по 512 байт кода и переписывает точку входа так, чтобы при выполнении зараженного файла сначала отрабатывался внедренный код.
При запуске зараженного трояном файла, сначала производится загрузка из Сети вредоносного файла (его адрес жестко прописан в теле троянва), затем загруженный файл запускается и только после этого выполняется "родной" код изначального файла.
"Даже если антивирусные продукты смогут удалить основной компонент трояна, код остается в зараженном файле, позволяя трояну загрузить свои обновления и заразить машину заново", — поясняет специалист компании Symantec Такаеши Накаяма.
Специалисты отмечают, что некоторые трояны уже наделялись ранее похожими свойствами, хотя это и редкость. Однако следует иметь в виду, что ZeuS постоянно совершенствуется, то и дело обретая новую функциональность.
