ВС:Бухгалтерия 6.3 Печенье с предсказаниями fortune-cookies ru п... (от Печенье с предсказаниями)
Вредоносное приложение превращает компьютеры в «зомби»
«Лаборатория Касперского» обнаружило вредоносное Java-приложение, превращающее персональные компьютеры пользователей под управлением Windows, Mac и Linux в «зомби», следующие командам злоумышленников. Об этом в корпоративном блоге SecureList рассказал вирусный аналитик Антон Иванов.
«Основной функционал бота – проведение DDoS-атак с зараженных компьютеров пользователей. При его анализе нами была зафиксирована попытка проведения атаки на один из сервисов осуществления рассылок по электронной почте», – рассказал аналитик.
В компании приложению присвоили имя HEUR:Backdoor.Java.Agent.a.
При запуске бот копирует себя в домашнюю директорию пользователя и прописывается в автозагрузку», – рассказал эксперт. В среде OS X вредоносное приложение создает конфигурационный файл для сервиса launchd в директории ~/Library/LaunchAgents/. В среде Linux зловред прописывается в автозагрузку, используя директорию /etc/init.d/, в которой он создает sh-скрипт, запускающийся при старте системы. Для этого действия у вредоносного приложения должны быть привилегии root. Эксперты не исключают, что для их получения перед запуском вредоносного приложения отрабатывается некий эксплойт, который повышает его локальные права.
Интересно, что если для записи в автозагрузку Linux Java-бот требует root-привилегий, что типично для вредоносных программ, работающих в Linux, то для заражения Mac OS X, как говорит Антон Иванов, бот может запускаться и из-под обычной учетной записи.
После запуска и добавления в автозагрузку, боту необходимо сообщить об этом своим владельцам. Для того чтобы идентифицировать каждого бота, на пользовательской машине генерируется уникальный идентификатор бота.
Затем бот подключается к чат-сети IRC, появляясь в специализированном канале как пользователь с уникальным идентификатором. Для обработки команд от своих владельцев, которые находятся в этом же канале, используется открытый фреймворк PircBot (который в благих целях позволяет создавать чат-ботов).
После того как все настроено и компьютер-зомби вышел в сеть IRC и присоединился к каналу, злоумышленники указывают ему в чате команды, которые включают адрес атакуемого, порт, тип и длительность атаки, а также сколько потоков для нее использовать.
Эксперт добавил, что для того чтобы усложнить анализ и вредоносной программы и выявление ее предназначения, разработчики использовали обфускацию – то есть запутывание исходного кода программы.
Информации по точному числу жертв пока нет. По имеющейся у «Лаборатории Касперского» информации, приложение распространяется, используя достаточно актуальный на сегодняшний день Java-эксплойт.
Оставьте Ваш комментарий или мнение о новости: Вредоносное приложение превращает компьютеры в «зомби» Просим Вас оставлять сообщения по теме и уважать своих собеседников и авторов новостного сообщения.
.gif){kind=small}
.gif){kind=small}
