Компания «Доктор Веб» — российский производитель антивирусных средств
защиты информации — сообщает о получении контроля над бот-сетью, которая
формировалась на основе распространяемой злоумышленниками вредоносной
программы BackDoor.Bulknet.739,
в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы,
троянец помогает злоумышленникам рассылать с него сотни спам-писем.
Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи
(Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также
могут попасть под его прицел.
Впервые BackDoor.Bulknet.739
заинтересовал аналитиков «Доктор Веб» в октябре 2012 года. Троянец
оказался способен объединять компьютеры в ботнеты и позволяет
злоумышленникам осуществлять массовую рассылку спама.
В момент
запуска троянца на инфицированном компьютере выполняется специальный
модуль, распаковывающий троянца-загрузчика, после чего
BackDoor.Bulknet.739 скачивается на инфицированную машину с
использованием вредоносного приложения, детектируемого как
BackDoor.Bulknet.847. При этом данная вредоносная программа использует
весьма оригинальный алгоритм: она обращается к хранящемуся у нее
зашифрованному списку доменных имен и выбирает один из них для загрузки
спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу
располагающегося по данному адресу сайта и разбирает ее HTML-структуру в
поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739
хранится внутри такого изображения в зашифрованном виде и предназначен
для осуществления массовых рассылок сообщений по каналам электронной
почты.
Адреса для рассылки спама, файл с шаблоном отправляемых
писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного
сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует
бинарный протокол: он способен выполнять набор получаемых от
злоумышленников команд, в частности, команду на обновление, загрузку
новых образцов писем, списка адресов для отправки спама, либо директиву
остановки рассылки. В случае собственного отказа троянец может отправить
злоумышленникам специальным образом сформированный отчет.
Специалисты
компании «Доктор Веб» сумели перехватить один из управляющих серверов
ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так,
по состоянию на 5 апреля 2013 года к управляющему серверу подключилось
около 7 000 ботов.
В настоящий момент ботнет BackDoor.Bulknet.739
продолжает расти достаточно быстрыми темпами — в среднем ежечасно
фиксируется заражение порядка 100 компьютеров. Географически наиболее
широкое распространение троянец BackDoor.Bulknet.739 получил на
территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее
количество инфицированных рабочих станций зафиксировано в Австралии и
России.
|
Главная 
