Эксперты Trend Micro: Ботнет Andromeda возвращается

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 14 мар 2013.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Следы присутствия ботсети были обнаружены в одной из спам-рассылок.

    Как сообщают исследователи компании Trend Micro, в одной из последних обнаруженных спам-рассылок присутствуют следы ботнета Andromeda.

    По словам экспертов, спам-сообщения содержат вредоносные вложения, либо ссылки на скомпрометированные web-сайты, загружающие на компьютер жертвы набор эксплоитов Blackhole (BHEK).

    Стоит напомнить, что ботнет Andromeda, обнаружен еще в 2011 году, может включать в себя несколько различных модулей, среди которых кейлоггеры, руткиты, а также прокси-модули SOCKS4.

    Как и обычный бэкдор, вирус может загружать и исполнять на компьютере жертвы различные файлы, а также обновлять себя или удалять в случае необходимости.

    Исследователи отмечают, что различные версии приложений, используемых ботсетью Andromeda хакеры продают в сети Интернет за $300-500, а наибольшее количество инфицированных компьютеров было обнаружено в Австралии, Турции и Германии.

    По данным экспертов, на этот раз Andromeda распространяется при помощи съемных носителей. Вместо простого распространения своих копий, вирус разделяет компоненты файлов, усложняя анализ и обнаружение.

    Последний обнаруженный исследователями образец вируса обладает способностью открывать и прослушивать TCP-порт 8000 и запускать командную строку (cmd.exe). После подключения к удаленной системе, злоумышленник может выполнить произвольные команды и получить полный доступ к инфицированному компьютеру.

    Помимо этого, Andromeda может использовать собственные API, которые внедряются в обычные процессы. Подобная техника ранее была замечена в поведении вирусов DUQU и KULUOZ.



    источник
     
    3 пользователям это понравилось.

Поделиться этой страницей