Новая версия опасного бэкдора скрывается за "Невинностью мусульман"

Обнаружена новая модификация бэкдора BackDoor.BlackEnergy, участвующего в создании бот-сети из зараженных компьютеров. Троянец рассылается вместе с письмами, в теме которых указано название скандального фильма «Невинность мусульман». При этом направлены эти письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy компьютеры могут использоваться злоумышленниками для осуществления массовых спам-рассылок, организации DDoS-атак и других противоправных действий.

Многокомпонентный бэкдор BlackEnergy до недавнего времени использовался для создания одного из самых крупных спам-ботнетов: в пик активности на его долю приходилось до 18 миллиардов сообщений в день. Благодаря усилиям ряда компаний и специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин. Это привело к заметному снижению общемирового объема спам-трафика. Однако полностью вредоносная деятельность BlackEnergy не была прекращена, поскольку активными оставались менее крупные командные центры бот-сети. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.

Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. Интересной особенностью обнаруженных писем является то, что они адресованы лицам из украинских государственных ведомств, таких как Министерство иностранных дел Украины и посольство Украины в Соединенных Штатах Америки.

Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена « WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

После запуска дроппера выполняется открытие второго сохраненного файла, представляющего собой обычный документ Microsoft Word. Именно он содержит исходную информацию, которую жертва и ожидала получить. Таким образом, снижается риск возникновения каких-либо подозрений со стороны пользователя.


Сергей и Марина Бондаренко, 3DNews





Интересные новости
Незавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости

Бета-версия UWP-приложения WhatsApp появилась на платформе Microsoft Store
Настольная версия Google Chrome позволит создавать и редактировать скриншоты прямо в браузере
Первая предварительная версия Windows 11 стала доступна для участников программы Windows Insider
Баг или фича? Новая версия браузера Edge настойчиво предлагает использовать поисковик Bing
Веб-версия Skype получила поддержку браузера Safari, но до сих пор не работает в Firefox
Вышла официальная версия архиватора 7-Zip для Linux — более 20 лет он был эксклюзивом Windows
На консолях Xbox вышла тестовая версия браузера Edge на Chromium
Следующая версия утилиты HWiNFO покажет честные температуры видеокарт GeForce RTX 3000
Следующая версия браузера Edge станет быстрее и получит новые функции
RTM-версия Windows 10X выйдет в декабре этого года
Последние новости

Подгружаем последние новости