Новости Software

Опасный троянец BackDoor.Bulknet.739 заражает по 100 компьютеров в час

Компания «Доктор Веб» сообщила о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739, в основном, зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.

В момент запуска троянца на инфицированном компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты.

Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками BackDoor.Bulknet.739 использует бинарный протокол: он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

Специалисты компании «Доктор Веб» сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7000 ботов, при этом рост их числа в период со 2 по 5 апреля можно проследить с помощью следующего графика.



В настоящий момент ботнет BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥
Кошмар не продолжится: интерактивный тизер отменённой Silent Hills оказался несовместим с PS5 18 мин.
Рождение героя: Game Informer показал важную сцену из Marvel’s Spider-Man: Miles Morales 20 мин.
Авторы Fallout Miami выпустили ролик с презентацией проделанной работы за последние месяцы 30 мин.
OpenStack Foundation переименовали в Open Infrastructure Foundation: новые функции, миссия и участники 8 ч.
В Китае запретили игры, социальные сети и онлайн-сервисы, которые вызывают зависимость у детей 9 ч.
Microsoft исправила ошибку, из-за которой веб-версии приложений Office устанавливались без разрешения пользователей 10 ч.
Facebook создала ИИ, который сможет переводить тексты между 100 языками напрямую 13 ч.
Российские пользователи Samsung Galaxy A51 первыми получат обновление до One UI 2.5 14 ч.
Оценки Amnesia: Rebirth: отличный ужастик, но с небольшими оговорками 14 ч.
Слухи: Blizzard выпустит Overwatch 2 или объявит о бета-тесте во время BlizzCon 2021 15 ч.