Троянец BackDoor заражает по 100 ПК в час
Компания «Доктор Веб» сообщила о получении контроля над
бот-сетью, которая формировалась на основе распространяемой
злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем
заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец
помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв
BackDoor.Bulknet.739, в основном, зарубежные пользователи (Италия,
Франция, Турция, США, Мексика и Тайланд), однако россияне также могут
попасть под его прицел.
В момент запуска троянца на
инфицированном компьютере выполняется специальный модуль,
распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739
скачивается на инфицированную машину с использованием вредоносного
приложения, детектируемого как BackDoor.Bulknet.847. При этом данная
вредоносная программа использует весьма оригинальный алгоритм: она
обращается к хранящемуся у нее зашифрованному списку доменных имен и
выбирает один из них для загрузки спам-модуля. В ответ
BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по
данному адресу сайта и разбирает ее HTML-структуру в поисках тега
вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится
внутри такого изображения в зашифрованном виде и предназначен для
осуществления массовых рассылок сообщений по каналам электронной почты.
Адреса
для рассылки спама, файл с шаблоном отправляемых писем и
конфигурационный файл BackDoor.Bulknet.739 получает с удаленного
сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует
бинарный протокол: он способен выполнять набор получаемых от
злоумышленников команд, в частности, команду на обновление, загрузку
новых образцов писем, списка адресов для отправки спама, либо директиву
остановки рассылки. В случае собственного отказа троянец может отправить
злоумышленникам специальным образом сформированный отчет.
Специалисты
компании «Доктор Веб» сумели перехватить один из управляющих серверов
ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так,
по состоянию на 5 апреля 2013 года к управляющему серверу подключилось
около 7000 ботов, при этом рост их числа в период со 2 по 5 апреля можно
проследить с помощью следующего графика.
В настоящий момент ботнет BackDoor.Bulknet.739 продолжает
расти достаточно быстрыми темпами — в среднем ежечасно фиксируется
заражение порядка 100 компьютеров. Географически наиболее широкое
распространение троянец BackDoor.Bulknet.739 получил на территории
Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество
инфицированных рабочих станций зафиксировано в Австралии и России.
|