Началась волна активизации трояна BackDoor.IRC.NgrBot с ботнет-функционалом

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 13 сен 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Компания "Доктор Веб" предупреждает о широком распространении троянской программы BackDoor.IRC.NgrBot, практическое использование которой позволило киберпреступникам развернуть крупную бот-сеть.

    Один из способов распространения троянца - модули флеш-памяти. В случае успешного проникновения в систему и заражения компьютера, троян авторизуется на управляющем IRC-сервере, отсылает об этом отчет и начинает получать различные директивы, среди которых могут быть команды обновления бота, переключения на другой канал IRC, удаления бота, передачи статистики, начала DDoS-атаки, включения редиректа и прочие инструкции. Всего, по словам экспертов, предусмотрено несколько десятков команд.

    [​IMG]

    Специалисты компании подчеркивают, что одной из особенностей сформированной средствами BackDoor.IRC.NgrBot бот-сети является регулярное криптование ботов, которые закачиваются на инфицированные компьютеры в процессе очередного цикла обновления. Таким образом вирусописатели пытаются затруднить детектирование угрозы антивирусным ПО.

    Согласно имеющейся в распоряжении экспертов "Доктор Веб" информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено свыше 60 тысяч редиректов пользователей на фишинговые сайты, имитирующие оформление различных банковских систем. Таким образом, отмечают в компании, можно сделать косвенные выводы о численности инфицированных машин, составляющих бот-сеть.

    Источник
     

Поделиться этой страницей