Обнаружена новая модификация бэкдора BackDoor.BlackEnergy,
участвующего в создании бот-сети из зараженных компьютеров. Троянец
рассылается вместе с письмами, в теме которых указано название
скандального фильма «Невинность мусульман». При этом направлены эти
письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy
компьютеры могут использоваться злоумышленниками для осуществления
массовых спам-рассылок, организации DDoS-атак и других противоправных
действий.
Многокомпонентный бэкдор BlackEnergy до недавнего
времени использовался для создания одного из самых крупных
спам-ботнетов: в пик активности на его долю приходилось до 18 миллиардов
сообщений в день. Благодаря усилиям ряда компаний и специалистов по
информационной безопасности в июле 2012 года было произведено отключение
нескольких управляющих серверов ботнета, контролировавших значительное
число инфицированных машин. Это привело к заметному снижению
общемирового объема спам-трафика. Однако полностью вредоносная
деятельность BlackEnergy не была прекращена, поскольку активными
оставались менее крупные командные центры бот-сети. Судя по всему,
создатели сети зомби-компьютеров не оставляют попыток восстановить былую
мощность ботнета, о чем свидетельствует появление новой версии троянца.
Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под
именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений
электронной почты с вложенным документом Microsoft Word. Интересной
особенностью обнаруженных писем является то, что они адресованы лицам из
украинских государственных ведомств, таких как Министерство иностранных
дел Украины и посольство Украины в Соединенных Штатах Америки.
Вложенный
в сообщение документ, детектируемый антивирусным ПО Dr.Web как
Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость
одного из компонентов ActiveX. Этот компонент применяется приложением
Word и некоторыми другими продуктами Microsoft для Windows. При попытке
открытия документа во временный каталог пользователя сохраняются два
файла, имеющие имена « WinWord.exe» и «Невинность мусульман.doc». Первый
файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для
установки его драйвера в системный каталог.
После запуска
дроппера выполняется открытие второго сохраненного файла,
представляющего собой обычный документ Microsoft Word. Именно он
содержит исходную информацию, которую жертва и ожидала получить. Таким
образом, снижается риск возникновения каких-либо подозрений со стороны
пользователя.
Источник:
участвующего в создании бот-сети из зараженных компьютеров. Троянец
рассылается вместе с письмами, в теме которых указано название
скандального фильма «Невинность мусульман». При этом направлены эти
письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy
компьютеры могут использоваться злоумышленниками для осуществления
массовых спам-рассылок, организации DDoS-атак и других противоправных
действий.
Многокомпонентный бэкдор BlackEnergy до недавнего
времени использовался для создания одного из самых крупных
спам-ботнетов: в пик активности на его долю приходилось до 18 миллиардов
сообщений в день. Благодаря усилиям ряда компаний и специалистов по
информационной безопасности в июле 2012 года было произведено отключение
нескольких управляющих серверов ботнета, контролировавших значительное
число инфицированных машин. Это привело к заметному снижению
общемирового объема спам-трафика. Однако полностью вредоносная
деятельность BlackEnergy не была прекращена, поскольку активными
оставались менее крупные командные центры бот-сети. Судя по всему,
создатели сети зомби-компьютеров не оставляют попыток восстановить былую
мощность ботнета, о чем свидетельствует появление новой версии троянца.
именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений
электронной почты с вложенным документом Microsoft Word. Интересной
особенностью обнаруженных писем является то, что они адресованы лицам из
украинских государственных ведомств, таких как Министерство иностранных
дел Украины и посольство Украины в Соединенных Штатах Америки.
Вложенный
в сообщение документ, детектируемый антивирусным ПО Dr.Web как
Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость
одного из компонентов ActiveX. Этот компонент применяется приложением
Word и некоторыми другими продуктами Microsoft для Windows. При попытке
открытия документа во временный каталог пользователя сохраняются два
файла, имеющие имена « WinWord.exe» и «Невинность мусульман.doc». Первый
файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для
установки его драйвера в системный каталог.
После запуска
дроппера выполняется открытие второго сохраненного файла,
представляющего собой обычный документ Microsoft Word. Именно он
содержит исходную информацию, которую жертва и ожидала получить. Таким
образом, снижается риск возникновения каких-либо подозрений со стороны
пользователя.
Источник:
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера