Опасный троянец BackDoor.Bulknet.739 заражает по 100 компьютеров в час

Компания «Доктор Веб» сообщила о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739, в основном, зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.

В момент запуска троянца на инфицированном компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты.

Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует бинарный протокол: он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

Специалисты компании «Доктор Веб» сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7000 ботов, при этом рост их числа в период со 2 по 5 апреля можно проследить с помощью следующего графика.


В настоящий момент ботнет BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России.


Сергей и Марина Бондаренко, 3DNews





Интересные новости
Українська IT-компанія MacPaw звільнює п’яту частину співробітниківУкраїнська IT-компанія MacPaw звільнює п’яту частину співробітників
Блок рекламы


Похожие новости

Хакеры из FIN7 стали рассылать вредоносные файлы Word для кражи данных с Windows-компьютеров
Microsoft добавила в браузер Edge сверхбезопасный режим Edge Super Duper Secure Mode
Появился опасный вирус MosaicLoader, который охотится на любителей пиратских игр
Обновлённый джейлбрейк Checkra1n получил поддержку iOS 14.5 и компьютеров Mac с чипом Apple M1
Опасный бэкдор-аккаунт найден в межсетевых экранах и контроллерах точек доступа Zyxel
Доля Windows 10 (2004) превысила 40 % от общего числа компьютеров с «десяткой»
Microsoft перевыпустила KB4023057, чтобы подготовить больше компьютеров к переходу на Windows 10 (2004)
Майское обновление Windows 10 (2004) проникло только в 11 % компьютеров с «десяткой»
Компьютеры Apple поразил опасный вирус. Виноват Windows
Хакеры заразили тысячи компьютеров майнером Monero. Им удалось заработать более $3 млн
Последние новости

Подгружаем последние новости