18+
5 декабря 2016, понедельник
Важно
Приложения
ПроисшествияПриморский край8 апреля 2013, 18:43печать

Опасный уникальный вирус угрожает приморцам


Он превращает компьютер жертвы в зомби

8 апреля 2013, 18:43, Дейта. Компания «Доктор Веб» сообщает о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.

Впервые BackDoor.Bulknet.739 заинтересовал аналитиков в октябре 2012 года. Троянец оказался способен объединять компьютеры в ботнеты и позволяет злоумышленникам осуществлять массовую рассылку спама.

В момент запуска троянца на инфицированном компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты.

Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует бинарный протокол: он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

Специалисты компании сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7  тысяч ботов, при этом рост их числа в период со 2 по 5 апреля можно проследить с помощью следующего графика:

В настоящий момент ботнет  BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России. Вот как распределена данная бот-сеть по странам и континентам:

ИА "Дейта"
Загрузка...
Курс
вчера
сегодня
USD:63.6864.15
EUR:67.6268.47
CNY:92.3693.22
ДРУГИЕ МАТЕРИАЛЫ РУБРИКИ «Происшествия»
ПРОЕКТЫ
Loading...
На данном сайте распространяется информация (материалы) информационного агентства «Дейта» - свидетельство ИА № ФС 77-44209 от 15 марта 2011 года, выдано Федеральной службой надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – действует на основании Закона о СМИ.
© ООО «ДЕЙТА.РУ» 2001–2016 гг
редакция: 8(423)257-55-10, 2-777-236, e-mail: info@deita.ru; коммерческий отдел: 8-924-325-94-97, 8-984-147-09-88, net@deita.ru,pr@deita.ru.
При любом использовании текстовых материалов с данного сайта гиперссылка на источник обязательна
Рейтинг@Mail.ru Яндекс.Метрика