cl
Погода -1° Киев
EUR 28.61 USD 26.97
Главная / Hi-Tech / IT / Обнаружены троянцы с необычным механизмом заражения

Обнаружены троянцы с необычным механизмом заражения


Компания "Доктор Веб" сообщила о распространении с помощью пиринговой сети Trojan.PWS.Panda.2395 нескольких вредоносных программ, использующих весьма любопытный механизм заражения компьютеров. Данные программы способны осуществлять массированные DDoS-атаки и рассылать спам.

Инфицирование компьютера жертвы осуществляется при помощи широко распространенного троянца Trojan.PWS.Panda.2395. На первом этапе заражения при помощи поддерживаемой троянцем пиринговой сети на ПК жертвы скачивается исполняемый файл, в котором зашифрован вредоносный модуль. После успешной расшифровки он запускает еще один модуль, считывающий в память компьютера образ другого вредоносного приложения, детектируемого антивирусным ПО Dr.Web как один из представителей семейства Trojan.DownLoader.

Данная программа сохраняется в папку учетной записи пользователя в виде исполняемого файла со случайным именем, после чего модифицирует реестр Windows, чтобы обеспечить себе возможность автоматического запуска одновременно с загрузкой операционной системы.

Весьма интересен алгоритм, используемый троянцем для загрузки на инфицированный компьютер других вредоносных программ. В теле данной модификации Trojan.DownLoader имеется зашифрованный список доменных имен, к которым загрузчик обращается с запросом по протоколу HTTPS. В ответ троянец получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения .%20%D0%92%20%D0%BA%D0%B0%D1%87%D0%B5%D1%81%D1%82%D0%B2%D0%B5%20%D0%B0%D1%80%D0%B3%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%20%D1%8D%D1%82%D0%BE%D0%B3%D0%BE%20%D1%82%D0%B5%D0%B3%D0%B0%20%D1%82%D0%B0%D0%BA%D0%B8%D0%B5%20%D0%B2%D0%B5%D0%B1-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D1%8B%20%D1%81%D0%BE%D0%B4%D0%B5%D1%80%D0%B6%D0%B0%D1%82%20%D0%B7%D0%B0%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9%20%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D0%B9%20%D1%84%D0%B0%D0%B9%D0%BB,%20%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D1%8B%D0%B9%20%D0%B8%D0%B7%D0%B2%D0%BB%D0%B5%D0%BA%D0%B0%D0%B5%D1%82%D1%81%D1%8F%20%D0%B8%D0%B7%20html-%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%B0,%20%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D1%8B%D0%B2%D0%B0%D0%B5%D1%82%D1%81%D1%8F%20%D0%B8%20%D0%B2%20%D0%B7%D0%B0%D0%B2%D0%B8%D1%81%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8%20%D0%BE%D1%82%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9%20%D0%BA%D0%BE%D0%BC%D0%B0%D0%BD%D0%B4%D1%8B%20%D0%BB%D0%B8%D0%B1%D0%BE%20%D0%BF%D1%8B%D1%82%D0%B0%D0%B5%D1%82%D1%81%D1%8F%20%D0%B2%D1%81%D1%82%D1%80%D0%BE%D0%B8%D1%82%D1%8C%D1%81%D1%8F%20%D0%B2%20%D0%BF%D1%80%D0%B5%D0%B4%D0%B2%D0%B0%D1%80%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%20%D0%B7%D0%B0%D0%BF%D1%83%D1%89%D0%B5%D0%BD%D0%BD%D1%8B%D0%B9%20%D1%82%D1%80%D0%BE%D1%8F%D0%BD%D1%86%D0%B5%D0%BC%20%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%20svchost.exe,%20%D0%BB%D0%B8%D0%B1%D0%BE%20%D1%81%D0%BE%D1%85%D1%80%D0%B0%D0%BD%D1%8F%D0%B5%D1%82%D1%81%D1%8F%20%D0%B2%D0%BE%20%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%BD%D1%83%D1%8E%20%D0%BF%D0%B0%D0%BF%D0%BA%D1%83.%20%D0%9F%D0%BE%D0%BC%D0%B8%D0%BC%D0%BE%20%D1%8D%D1%82%D0%BE%D0%B3%D0%BE,%20%D0%BD%D0%B5%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%20%D0%B8%D0%B7%20%D1%82%D0%B5%D0%BB%D0%B0%20%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D1%87%D0%B8%D0%BA%D0%B0%20%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D1%8B%D0%B2%D0%B0%D1%8E%D1%82%D1%81%D1%8F%20DDoS-%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8C%20%D0%B8%20%D1%81%D0%BF%D0%B8%D1%81%D0%BE%D0%BA%20%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D1%81%D0%BB%D0%B5%D0%B4%D1%83%D1%8E%D1%89%D0%B5%D0%B9%20%D0%B0%D1%82%D0%B0%D0%BA%D0%B8,%20%D0%B7%D0%B0%D1%82%D0%B5%D0%BC%20%D0%BE%D0%B1%D1%80%D0%B0%D0%B7%20%D0%B4%D0%B0%D0%BD%D0%BD%D0%BE%D0%B9%20%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D0%BE%D0%B9%20%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B%20%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%B0%D0%B8%D0%B2%D0%B0%D0%B5%D1%82%D1%81%D1%8F%20%D0%BD%D0%B5%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%20%D0%B2%20%D0%B5%D0%B3%D0%BE%20%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D0%B5.

После успешной загрузки DDoS-модуль создает до восьми независимых потоков, в которых начинает непрерывно отправлять POST-запросы к серверам из хранящегося в троянце-загрузчике списка, а также пытается установить соединение с рядом серверов по протоколу SMTP, после чего отсылает на них случайные данные. Всего список содержит 200 выбранных в качестве цели для DDoS-атак сайтов, среди которых имеются столь известные ресурсы, как портал love.com, принадлежащий корпорации America On-Line, сайты нескольких крупных американских университетов, а также порталы msn.com, netscape.com и другие.

Но этим возможности троянца-загрузчика не ограничиваются. Из списка доменов для DDoS-атак он по специальному алгоритму выбирает один, отправляет на него HTTP-запрос и получает в ответ веб-страницу. Среди содержимого этой веб-страницы троянец также пытается отыскать тег вставки изображения ,%20%D0%B2%20%D0%BA%D0%B0%D1%87%D0%B5%D1%81%D1%82%D0%B2%D0%B5%20%D0%B0%D1%80%D0%B3%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%20%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D0%BE%D0%B3%D0%BE%20%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%20%D0%BC%D0%B0%D1%81%D1%81%D0%B8%D0%B2%20%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85,%20%D0%B7%D0%B0%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D1%85%20%D1%81%20%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC%20%D0%B0%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D0%B0%20base-64.%20

%D0%9F%D0%BE%D1%81%D0%BB%D0%B5%20%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BA%D0%B8%20%D0%B8%D0%B7%D0%B2%D0%BB%D0%B5%D1%87%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5%20%D0%B8%D0%B7%20%D0%B2%D0%B5%D0%B1-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D1%8B%20%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5%20%D0%BF%D1%80%D0%B5%D0%B2%D1%80%D0%B0%D1%89%D0%B0%D1%8E%D1%82%D1%81%D1%8F%20%D0%B2%20%D1%84%D0%B0%D0%B9%D0%BB,%20%D0%BC%D0%B0%D1%81%D0%BA%D0%B8%D1%80%D1%83%D1%8E%D1%89%D0%B8%D0%B9%D1%81%D1%8F%20%D0%BF%D0%BE%D0%B4%20%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%B2%20%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B5%20JPEG.%20%D0%AD%D1%82%D0%BE%D1%82%20%D1%84%D0%B0%D0%B9%D0%BB%20%D1%82%D0%B0%D0%BA%D0%B6%D0%B5%20%D1%85%D1%80%D0%B0%D0%BD%D0%B8%D1%82%20%D0%B2%20%D1%81%D0%B5%D0%B1%D0%B5%20%D0%BA%D0%BE%D0%BD%D1%82%D0%B5%D0%B9%D0%BD%D0%B5%D1%80,%20%D1%81%D0%BE%D0%B4%D0%B5%D1%80%D0%B6%D0%B8%D0%BC%D0%BE%D0%B5%20%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D0%BE%D0%B3%D0%BE%20%D1%81%D0%B6%D0%B0%D1%82%D0%BE%20%D0%B0%D1%80%D1%85%D0%B8%D0%B2%D0%B0%D1%82%D0%BE%D1%80%D0%BE%D0%BC%20gzip.%20%D0%9D%D0%B0%D0%BA%D0%BE%D0%BD%D0%B5%D1%86,%20%D0%B8%D0%B7%20%D0%B0%D1%80%D1%85%D0%B8%D0%B2%D0%B0%20%D0%B8%D0%B7%D0%B2%D0%BB%D0%B5%D0%BA%D0%B0%D0%B5%D1%82%D1%81%D1%8F%20%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D0%B0%D1%8F%20%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B0%20BackDoor.Bulknet.739,%20%D0%BF%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D1%8F%D1%8E%D1%89%D0%B0%D1%8F%20%D1%81%D0%BE%D0%B1%D0%BE%D0%B9%20%D1%82%D1%80%D0%BE%D1%8F%D0%BD%D0%B5%D1%86-%D0%B1%D1%8D%D0%BA%D0%B4%D0%BE%D1%80,%20%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D1%8B%D0%B9%20%D0%BC%D0%BE%D0%B6%D0%B5%D1%82%20%D0%BC%D0%B0%D1%81%D1%81%D0%BE%D0%B2%D0%BE%20%D1%80%D0%B0%D1%81%D1%81%D1%8B%D0%BB%D0%B0%D1%82%D1%8C%20%D1%81%D0%BF%D0%B0%D0%BC. " style="display:none"> Источник: 3DNews

Оставьте комментарий к этой статье. Ваше мнение нам очень важно