Новый бэкдор-троянец эксплуатирует тематику скандального фильма «Невинность мусульман»

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 27 сен 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    В сети обнаружена новая модификация бэкдора-троянца BackDoor.BlackEnergy, участвующего в создании бот-сети из зараженных компьютеров. Троянец рассылается вместе с письмами, в теме которых указано название скандального фильма «Невинность мусульман». При этом направлены эти письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy компьютеры могут использоваться злоумышленниками для осуществления массовых спам-рассылок, организации DDoS-атак и других противоправных действий.

    Многокомпонентный бэкдор BlackEnergy до недавнего времени использовался для создания одного из самых крупных спам-ботнетов: в пик активности на его долю приходилось до 18 миллиардов сообщений в день. Благодаря усилиям ряда компаний и специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин. Это привело к заметному снижению общемирового объема спам-трафика. Однако полностью вредоносная деятельность BlackEnergy не была прекращена, т. к. активными оставались менее крупные командные центры бот-сети. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.

    Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. Интересной особенностью обнаруженных писем является то, что они адресованы лицам из украинских государственных ведомств, таких как Министерство иностранных дел Украины и посольство Украины в Соединенных Штатах Америки.

    В качестве «горячей темы» злоумышленники используют скандальный фильм «Невинность мусульман», который вызвал волну протестов по всему миру и уже успел привести к человеческим жертвам.

    Вложенный в сообщение документ содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена «WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

    После запуска дроппера выполняется открытие второго сохраненного файла, представляющего собой обычный документ Microsoft Word. Именно он содержит исходную информацию, которую жертва и ожидала получить. Таким образом, снижается риск возникновения каких-либо подозрений со стороны пользователя.

    Бэкдоры семейства BackDoor.BlackEnergy представляют собой модульных троянцев, выполняющих вредоносную деятельность при помощи отдельно загружаемых плагинов. Новая модификация в этом плане ничем не отличается от предыдущих. Для своей работы троянец использует специальный конфигурационный файл в формате xml, получаемый с управляющего сервера, расположенного по адресу 194.28.172.58. Следуя этому файлу, BackDoor.BlackEnergy.18 может выполнить загрузку следующих модулей:

    Название-ps
    Версия- 14
    Дата компиляции -04.09.2012
    Предназначение-Кража паролей от популярных интернет-приложений (браузеры, почтовые клиенты и т.п.)


    Название- fs
    Версия -24
    Дата компиляции-16.09.2011
    Предназначение -Взаимодействие с файловой системой и сбор информации о компьютере

    Название -ss
    Версия - 9
    Дата компиляции- 17.04.2012
    Предназначение - Создание скриншотов и видеозаписей

    Название -upd
    Версия - 14
    Дата компиляции - 03.03.2012
    Предназначение - Получение обновлений троянца

    Название - vsnet_l
    Версия - 3
    Дата компиляции - 06.09.2012
    Предназначение - Доступ к компьютеру при помощи функции удаленного рабочего стола


    Помимо модулей для операционных систем семейства Windows, были обнаружены плагины, которые представляют собой исполняемые ELF-файлы, работающие в ОС Linux на базе процессоров Intel c 32-битной системной логикой:

    Название - fs_lin
    Версия - 1
    Предназначение-Взаимодействие с файловой системой (например, получение списка имеющихся файлов и директорий)


    Название - up_lin
    Версия - 1
    Предназначение -Получение обновлений троянца

    Название - weap_lin
    Версия - 1
    Предназначение -Осуществление DDoS-атак


    Необходимо отметить, что для плагинов, скомпилированных под ОС Linux, в конфигурационном файле указана первая версия и отсутствует информация об управляющих серверах. Вполне вероятно, что включение их в список загрузки, предназначенный для Windows-версии троянца, является ошибкой его авторов. Специалисты компании «Доктор Веб» предполагают, что Linux-версия этой вредоносной программы распространяется при помощи специального дроппера.



    источник
     
    4 пользователям это понравилось.

Поделиться этой страницей