26 сентября 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обнаружении новой модификации BackDoor.BlackEnergy, участвующего в создании бот-сети из зараженных компьютеров.
Троянец рассылается вместе с письмами, в теме которых указано название
скандального фильма «Невинность мусульман». При этом направлены эти
письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy
компьютеры могут использоваться злоумышленниками для осуществления
массовых спам-рассылок, организации DDoS-атак и других противоправных
действий.
Многокомпонентный бэкдор BlackEnergy до недавнего времени
использовался для создания одного из самых крупных спам-ботнетов: в пик
активности на его долю приходилось до 18 миллиардов сообщений в день.
Благодаря усилиям ряда компаний и специалистов по информационной
безопасности в июле 2012 года было произведено отключение нескольких
управляющих серверов ботнета, контролировавших значительное число
инфицированных машин. Это привело к заметному снижению общемирового
объема спам-трафика. Однако полностью вредоносная деятельность
BlackEnergy не была прекращена, т. к. активными оставались менее крупные
командные центры бот-сети. Судя по всему, создатели сети
зомби-компьютеров не оставляют попыток восстановить былую мощность
ботнета, о чем свидетельствует появление новой версии троянца.
Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под именем BackDoor.BlackEnergy.18,
распространяется при помощи сообщений электронной почты с вложенным
документом Microsoft Word. Интересной особенностью обнаруженных писем
является то, что они адресованы лицам из украинских государственных
ведомств, таких как Министерство иностранных дел Украины и посольство
Украины в Соединенных Штатах Америки.
На представленном выше изображении видно, что в качестве «горячей
темы» злоумышленники используют скандальный фильм «Невинность
мусульман», который вызвал волну протестов по всему миру и уже успел
привести к человеческим жертвам.
Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web
как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует
уязвимость одного из компонентов ActiveX. Этот компонент применяется
приложением Word и некоторыми другими продуктами Microsoft для Windows.
При попытке открытия документа во временный каталог пользователя
сохраняются два файла, имеющие имена « WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.
После запуска дроппера выполняется открытие второго сохраненного
файла, представляющего собой обычный документ Microsoft Word. Именно он
содержит исходную информацию, которую жертва и ожидала получить. Таким
образом, снижается риск возникновения каких-либо подозрений со стороны
пользователя.
Бэкдоры семейства BackDoor.BlackEnergy
представляют собой модульных троянцев, выполняющих вредоносную
деятельность при помощи отдельно загружаемых плагинов. Новая модификация
в этом плане ничем не отличается от предыдущих. Для своей работы
троянец использует специальный конфигурационный файл в формате xml,
получаемый с управляющего сервера, расположенного по адресу
194.28.172.58. Следуя этому файлу, BackDoor.BlackEnergy.18 может выполнить загрузку следующих модулей:
Название | Версия | Дата компиляции | Предназначение |
ps | 14 | 04.09.2012 | Кража паролей от популярных интернет-приложений (браузеры, почтовые клиенты и т.п.) |
fs | 24 | 16.09.2011 | Взаимодействие с файловой системой и сбор информации о компьютере |
ss | 9 | 17.04.2012 | Создание скриншотов и видеозаписей |
upd | 4 | 03.03.2012 | Получение обновлений троянца |
vsnet_l | 3 | 06.09.2012 | Доступ к компьютеру при помощи функции удаленного рабочего стола |
Помимо модулей для операционных систем семейства Windows, были
обнаружены плагины, которые представляют собой исполняемые ELF-файлы,
работающие в ОС Linux на базе процессоров Intel c 32-битной системной
логикой:
Название | Версия | Предназначение |
fs_lin | 1 | Взаимодействие с файловой системой (например, получение списка имеющихся файлов и директорий) |
up_lin | 1 | Получение обновлений троянца |
weap_lin | 1 | Осуществление DDoS-атак |
Отметим, что для плагинов, скомпилированных под ОС Linux, в
конфигурационном файле указана первая версия и отсутствует информация об
управляющих серверах. Вполне вероятно, что включение их в список
загрузки, предназначенный для Windows-версии троянца, является ошибкой
его авторов. Специалисты компании «Доктор Веб» предполагают, что
Linux-версия этой вредоносной программы распространяется при помощи
специального дроппера.
Для пользователей продуктов компании троянец не представляет угрозы:
необходимые сигнатуры уже внесены в вирусную базу антивируса Dr.Web.