Налоги России
18.119.102.149, Вторник, 05.11.2024, 03:25
Приветствую Вас Гость | RSS
 
Главная БлогиРегистрацияВход
TaxRu
С днем победы!
Меню сайта
Статистика
Онлайн всего: 271
Гостей: 271
Пользователей: 0

Сегодня были:




РЕКЛАМА

Реклама
Категории раздела
О НАЛОГАХ [11362]
Все о налогах.
Письма [6417]
Нормативные письма в основном по налогам, бухгалтерскому учету и пр.
О НАЛОГАХ "ТАМ" [2420]
Новости о налогах, финансах за рубежом
БУХГАЛТЕРСКИЙ УЧЕТ [683]
Бухучет
ПОЛИТИКА [1278]
Все о политике
ЭКОНОМИКА [3228]
И мировая, и наша. Проблемы и их решения.
ФИНАНСЫ [1132]
БЕЗОПАСНОСТЬ [1299]
Вопросы безопасности частной жизни, организации, регионов, страны.
КРИМИНАЛ [109]
РЕЛИГИЯ [5200]
Все о религиозных течениях, плюсы, минусы, критика.
Афоризмы, притчи [745]
Афоризмы, притчи, рассказы
ПРИРОДА [298]
Интересные статьи про явления природы
ОБ ЭТОМ [63]
Отношения между мужчиной женщиной
ПОЭЗИЯ [61]
Блог специально заведен для моей сестры Анжелы. Но в нем могут размещать материалы все для кого поэзия это состояние души.
БОНУСЫ [30]
Здесь будут размещаться Бонусы рублевые, долларовые и др. Перемещен раздел для более легкого размещения бонусов и возможности писать посетителям отзывы
АФЕРЫ [65]
В этом блоге будут размещаться материалы о сайтах аферистах, желающим размещать материал представить доки, ссылки, краткое объяснение.
Видео [76]
Разное видео разбитое по разделам
ИНФОРПРЕСС [948]
Для размещения статей экономической тематики
Главная » 2012 » Сентябрь » 26 » Новая версия BackDoor.BlackEnergy скрывается за "Невинностью мусульман"


23:05
Новая версия BackDoor.BlackEnergy скрывается за "Невинностью мусульман"

Новая версия BackDoor.BlackEnergy скрывается за "Невинностью мусульман"

26 сентября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обнаружении новой модификации BackDoor.BlackEnergy, участвующего в создании бот-сети из зараженных компьютеров. Троянец рассылается вместе с письмами, в теме которых указано название скандального фильма «Невинность мусульман». При этом направлены эти письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy компьютеры могут использоваться злоумышленниками для осуществления массовых спам-рассылок, организации DDoS-атак и других противоправных действий.

Многокомпонентный бэкдор BlackEnergy до недавнего времени использовался для создания одного из самых крупных спам-ботнетов: в пик активности на его долю приходилось до 18 миллиардов сообщений в день. Благодаря усилиям ряда компаний и специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин. Это привело к заметному снижению общемирового объема спам-трафика. Однако полностью вредоносная деятельность BlackEnergy не была прекращена, т. к. активными оставались менее крупные командные центры бот-сети. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.

Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. Интересной особенностью обнаруженных писем является то, что они адресованы лицам из украинских государственных ведомств, таких как Министерство иностранных дел Украины и посольство Украины в Соединенных Штатах Америки.


На представленном выше изображении видно, что в качестве «горячей темы» злоумышленники используют скандальный фильм «Невинность мусульман», который вызвал волну протестов по всему миру и уже успел привести к человеческим жертвам.

Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена « WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

После запуска дроппера выполняется открытие второго сохраненного файла, представляющего собой обычный документ Microsoft Word. Именно он содержит исходную информацию, которую жертва и ожидала получить. Таким образом, снижается риск возникновения каких-либо подозрений со стороны пользователя.


Бэкдоры семейства BackDoor.BlackEnergy представляют собой модульных троянцев, выполняющих вредоносную деятельность при помощи отдельно загружаемых плагинов. Новая модификация в этом плане ничем не отличается от предыдущих. Для своей работы троянец использует специальный конфигурационный файл в формате xml, получаемый с управляющего сервера, расположенного по адресу 194.28.172.58. Следуя этому файлу, BackDoor.BlackEnergy.18 может выполнить загрузку следующих модулей:

НазваниеВерсияДата компиляцииПредназначение
ps1404.09.2012Кража паролей от популярных интернет-приложений (браузеры, почтовые клиенты и т.п.)
fs2416.09.2011Взаимодействие с файловой системой и сбор информации о компьютере
ss917.04.2012Создание скриншотов и видеозаписей
upd403.03.2012Получение обновлений троянца
vsnet_l306.09.2012Доступ к компьютеру при помощи функции удаленного рабочего стола

Помимо модулей для операционных систем семейства Windows, были обнаружены плагины, которые представляют собой исполняемые ELF-файлы, работающие в ОС Linux на базе процессоров Intel c 32-битной системной логикой:

НазваниеВерсияПредназначение
fs_lin1Взаимодействие с файловой системой (например, получение списка имеющихся файлов и директорий)
up_lin1Получение обновлений троянца
weap_lin1Осуществление DDoS-атак

Отметим, что для плагинов, скомпилированных под ОС Linux, в конфигурационном файле указана первая версия и отсутствует информация об управляющих серверах. Вполне вероятно, что включение их в список загрузки, предназначенный для Windows-версии троянца, является ошибкой его авторов. Специалисты компании «Доктор Веб» предполагают, что Linux-версия этой вредоносной программы распространяется при помощи специального дроппера.

Для пользователей продуктов компании троянец не представляет угрозы: необходимые сигнатуры уже внесены в вирусную базу антивируса Dr.Web.

Категория: БЕЗОПАСНОСТЬ | Просмотров: 1254 | Добавил: AlIvanof | Теги: BackDoor.BlackEnergy, вирус
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Подписка
Скажи "Спасибо"
Поиск по сайту
QR-код сайта
Безопасность
Налоги России © 2009 - 2024
Индекс цитирования Яндекс.Метрика Рейтинг@Mail.ru