Доктор Веб: Опасный троянец заражает по 100 компьютеров в час
Компания «Доктор Веб» сообщила о получении контроля над бот-сетью, которая формировалась на основе распространяемой злоумышленниками вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Попадая на компьютер жертвы, троянец помогает злоумышленникам рассылать с него сотни спам-писем. Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.
Динамика роста ботнета BackDoor.Bulknet.739
Впервые BackDoor.Bulknet.739 заинтересовал аналитиков «Доктор Веб» в октябре 2012 года. Троянец оказался способен объединять компьютеры в ботнеты и позволяет злоумышленникам осуществлять массовую рассылку спама.
В момент запуска троянца на инфицированном компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения, детектируемого как BackDoor.Bulknet.847. При этом данная вредоносная программа использует весьма оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. Специалисты компании «Доктор Веб» сумели перехватить один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрать ряд статистических данных. Так, по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7 000 ботов.
В настоящий момент ботнет BackDoor.Bulknet.739 продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России.
© Ferra.ru