Доктор Веб: сімейство троянів BackDoor.Volk |
14.02.2012 21:58 | |||||||
Компанія «Доктор Веб», попередила про поширення сімейства троянських програм, доданих в вірусні бази Dr.Web під найменуванням BackDoor.Volk. Ці троянці здатні змінювати вміст файлу hosts і виконувати на інфікованої машині надходять від віддаленого сервера зловмисників команди. Цікаво, що імовірною батьківщиною цих троянців є Південна Америка. Протягом останнього часу у вірусну лабораторію компанії «Доктор Веб» надійшов цілий «виводок» троянців сімейства Volk, першим з яких став BackDoor.Volk.1. Цікаво, що ця шкідлива програма написана на мові PHP, застосовується в основному для створення скриптів та програм, що працюють на стороні сервера, і конвертована в виконуваний код за допомогою утиліти php2exe. Троянець модифікує на зараженій машині файл hosts, який відповідає за зіставлення DNS-імен IP-адресами, а також здатний завантажувати з віддаленого вузла і запускати на інфікованому ПК різні додатки. Троянці BackDoor.Volk здатні об'єднуватися в ботнети, керовані за допомогою спеціальної адміністративної панелі. У розпорядженні аналітиків «Доктор Веб» є дамп бази даних керуючого сервера одного з ботнетів, побудованих на базі BackDoor.Volk. Судячи із записів у цій базі, в мережі присутній близько 100 ботів, а географія інфікованих машин надзвичайно широка. Найбільше заражень припадає на частку Чилі (31%) і Уругваю (13%), далі слідують Перу (8%), Аргентина (4%) та Іспанія (3%). Найменше заражених ПК розташоване в США та Індії (по 2%), а також в Канаді, Колумбії і Бразилії (по 1%). Ще 34% інфікованих комп'ютерів територіально розташовується в державі під назвою «Unknown» - в це число може входити і Росія. BackDoor.Volk.2 на відміну від свого попередника написаний на Visual Basic і при зверненні до віддалених вузлів для передачі запитів використовує метод POST, а не GET. Крім завантаження і запуску додатків, а також підміни файлу hosts, ця шкідлива програма має функціоналом для проведення DDoS-атак і здатна красти паролі від FTP-клієнтів, встановлених на інфікованому комп'ютері. Слід зазначити, що модуль обміну даними з командним сервером в троянця BackDoor.Volk.2 явно запозичений в іншої шкідливої програми - BackDoor.Herpes, вихідні коди якої з'явилися у вільному доступі деякий час назад. BackDoor.Volk.3 і BackDoor.Volk.4 також написані на Visual Basic і є модифікаціями BackDoor.Volk.2: основні зміни стосуються методів обміну інформацією з керуючим сервером. Функціонал цих троянців в цілому схожий. Головна небезпека для користувача полягає в тому, що завдяки можливої підміни файлу hosts потенційна жертва може бути обманом заманити на створені зловмисниками фішингові сайти, при цьому здатність троянця красти паролі від FTP-клієнтів відкриває перед вірусописьменниками можливість отримання несанкціонованого доступу до різних веб-сайтах. Сигнатури, відповідні всім відомим на сьогоднішній день модифікаціям BackDoor.Volk, додані в вірусні бази Dr.Web.
Интересно также почитать:
Более ранние новости:
|