Работата, извършена по Zeus наистина впечатлява: в новия вариант мрежата от вирусни ботове използва P2P мрежа за събиране и предаване на информация, както и за по-висока жизнеспособност. Преди се използваше мрежа от командни сървъри, при която изключването на един от тях водеше до използването на следващ C&C сървър. Сега тези сървъри напълно са изчезнали от мрежата и вирусните ботове получават инструкциите си чрез един от възлите и после ги разпространяват из цялата мрежа. Ботовете вече са научени да си предават от един на друг инструкции, конфигурационни и изпълними файлове.
Старият и новият начин на организация
Още един интересен момент е почти пълният преход към самостоятелно пренаписан UDP протокол. В предишните варианти за предаване на команди и файлове се използваше обикновен TCP.
Старата версия на протокола
В новата версия присъства все повече UDP
Допълнително е усъвършенствано шифроването на ботовете: преди се използваше побайтова логическа XOR операция, съчетана с RC4, а сега допълнително е добавена и XOR по блокове.
Промени в шифирирането
Няма как да одобрим кражбата на данни, но този вирус започна да се превръща в произведение на изкуството.
Подробности: Symantec
