Panda Software сообщает об одной из наиболее сложных организованных атак в истории

1174

Лаборатория PandaLabs сообщает об усложненной ‘цепной’ атаке, выполняемой с помощью троянца SpamNet.A, обнаруженного на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру ‘дерева’ для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.

Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц. Что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц.

Когда открывается первая из двух страниц, она в свою очередь открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере.

При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Другие шесть файлов следующие:

  • Первые два – бинарно-идентичные копии троянца Downloader.DQY, и оба создают в операционной системе файл под названием svchost.exe, который в действительности является троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается скачать и запустить файлы с четырех различных веб-адресов, два из которых были недоступны на время написания, и другие два это:
    • Троянец Multidropper.ARW
    • Троянец Sapilayr.A
  • Третий из шестерки файлов — рекламная программа Adware/SpySheriff
  • Четвертый — троянец Downloader.DYB, который пытается определить ID компьютера. Если компьютер находится в Великобритании, он скачивает и запускает дозвонщика Dialer.CHG. Если он не в Великобритании, он скачивает другой файл, идентифицированный как Dialer.CBZ. Эти типы файлов перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера.
  • Пятый файл — Downloader.CRY, создает два файла. Первый из них svchost.exe, создается в c:windowssystem. Второй был идентифицирован как Lowzones.FO.
  • Шестой, Downloader.EBY, создает, в свою очередь, другие шесть файлов:
    • Первый из них — троянец Downloader.DLH, который использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. На время написания, им было собрано 3 миллиона адресов.
    • Второй, троянец Agent.EY, устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях.
    • Третий файл, Clicker.HA, ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд.
    • Четвертый файл — дозвонщик Dialer.CBZ
    • Пятый – рекламная программа Adware/Adsmart
    • Шестой — троянец Downloader.DSV скачивает backdoor-троянца Galapoper.C с определенного адреса. Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое Интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки, и даже может содержать другие инструкции или обновления для Galapoper.C.

      Galapoper.C также создает основной и два вторичных процесса: с помощью первого он периодически проверяет доступность контента на трех страницах, упомянутых выше. Он использует вторичные для рассылки спама (с зараженного компьютера) и компиляции информации с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений, каждые 10 минут или 70 тысяч спамовых писем.

Вторая страница перенаправляет пользователя на другую, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает новую страницу, используя HTML тэг – эта страница была недоступна на время написания статьи.

Она также открывает другую страницу, чей код маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.

Panda Software предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО.

16 августа 2005 Г.

12:30

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Линейка смартфонов Samsung Galaxy J пополнилась моделями J7+ и J7 Core: Samsung Galaxy J7+ получил сдвоенную камеру

Samsung Galaxy Tab Active 2: все подробности и фото: Samsung Galaxy Tab Active 2 построен на SoC Exynos 7880 и наделен 3 ГБ ОЗУ3

BlackBerry испытала первый беспилотный автомобиль на основе платформы QNX: ОС BlackBerry QNX уже способна управлять автомобилем

Lenovo обновит смартфоны семейства K8 до Android Oreo лишь летом следующего года: Смартфоны Lenovo K8 получат обновление до Android 8.02

Дело VirnetX против Apple, длящееся пять лет, в очередной раз завершилось проигрышем последней: Apple снова проиграла в суде компании VirnetX8

Garmin Speak — очень компактный навигатор с интегрированным голосовым помощником Alexa: Устройство Garmin Speak оценивается в 150 долларов1

Смартфоны Google Pixel 2 без подключения к Сети смогут определять лишь чуть более 17 000 музыкальных композиций: Функция Now Playing у смартфонов Google Pixel ограничена 17 000 композиций7

Дроны Project Wing занимаются доставкой буррито и лекарств в Австралии: Alphabet тестирует свои дроны в Австралии2

Смартфон OnePlus 5T представят 5 ноября : OnePlus 5T появится через три недели4

SoC Snapdragon 636 опережает по производительности Snapdragon 630 на 40%: Поставки Snapdragon 636 начнутся в ноябре11

Процент выхода годных компонентов для Apple iPhone X увеличивается: Компания Foxconn Electronics уже отгрузила первую партию Apple iPhone X со своей китайской фабрики в Чжэнчжоу10

В 2020 году треть проданных смартфонов будет оснащена аппаратными блоками для работы с искусственным интеллектом: Смартфоны с ИИ займут треть рынка уже в 2020 году12

Microsoft и другие крупные производители уже выпустили обновления, устраняющие уязвимость в WPA2: Многие компании подтвердили, что планируют выпуск обновления14

Naver выпустит новые умные АС : В продажу колонка поступит 26 октября по цене 114 долларов1

В США смартфоны Apple iPhone 7 пользуются большим спросом, чем iPhone 8: В США цены на Apple iPhone 8 начинаются с $699, на iPhone 7 — с $54937

Названы цены и дата анонса объективов Olympus M.Zuiko Digital 17mm F1.2 Pro и 45mm F1.2 Pro: Дата начала продаж объективов Olympus M.Zuiko Digital 17mm F1.2 Pro и 45mm F1.2 Pro пока неизвестна14

Новый моноблок iMac Pro с 10-ядерным процессором Xeon набирает более 35 000 баллов в Geekbench: Если говорить точнее, то iMac Pro с восьмиядерным процессором Xeon протестировали еще в августе этого18

Названа новая дата начала продаж смартфонов Motorola Moto X4 в Индии: Смартфон Motorola Moto X4 был представлен на IFA 2017

Largan увеличила штат на 1000 человек и назвала средние зарплаты: Largan отмечает, что уровень зарплаты в компании выше, чем в среднем по отрасли и чем во многих офисах8

Внешняя камера DxO One для Android будет представлена 2 ноября, версия для iPhone получила новые возможности: Камера DxO One для iPhone получила обновление, после которого владельцы аксессуара могут вести живую трансляцию в Facebook7

Скоро будет представлен объектив Zeiss Milvus 1.4/25 для камер Canon и Nikon: Объектив Zeiss Milvus 1.4/25 будет полнокадровым6

Компании Samsung выдан патент на умный браслет со съемным гибким экраном: Заявка была подана в августе 2015 года8

Chilli International предлагает спиннер-телефон за $17: Телефон должен держать заряд до 10 дней9

Google Photos теперь лучше распознает животных : Категория People после установки обновления поменяет название на People & Pets2

Samsung может наделить смартфон Galaxy S8 способностью снимать в портретном режиме: Galaxy S8 может получить портретный режим съёмки со следующим обновлением31

Мобильные видеокарты GeForce MX130 и MX110 будут представлять собой переименованные модели прошлого поколения: Nvidia готовит 3D-карты GeForce MX130 и MX1105

Представлены смартфоны Huawei Mate 10 Pro и Mate 10 Porsche Design: В продажу смартфоны поступят в середине ноября21

2 ноября HTC должна представить новый смартфон: На рекламном изображении мы видим только букву U1

Хаб Dodocool DC35 с семью портами оценен в $46: Цена Dodocool DC35 составляет 46 долларов2

Смартфоны Samsung Galaxy A5 (2018) и Galaxy A7 (2018) получат сдвоенные фронтальные камеры и экраны разрешением 2160 х 1080 пикселей: Смартфоны Samsung Galaxy A5 (2018) и Galaxy A7 (2018) запечатлены на видео4

На рынке смартфонов экраны OLED опередят ЖК-дисплеи к 2020 году: Через три года смартфонов с панелями OLED будет большинство2

997
1318

iXBT TV

  • Планшеты для подводного чтения, дешевый безрамочный смартфон и автономная VR-гарнитура

  • Обзор 3D-принтера Funtastique Evo: дешевая, но вполне функциональная DIY-модель

  • Обзор робота-пылесоса Polaris PVCR 0920WV Rufer с функцией влажной протирки полов

  • Новинки Google на любой вкус: Pixel 2, Pixel 2 XL, Pixelbook, Clip, Home Mini и Max

  • Обзор водонепроницаемого бинокля Canon 10x42L IS WP с оптическим стабилизатором

  • Обзор компактного вертикального пылесоса Kitfort КТ-525

  • Обзор 15-дюймового игрового ноутбука MSI GE63VR 7RF Raider 4K с 4K-экраном

  • Ракета вместо самолета, умные AC Amazon, робот-мяч

  • Обзор парогенератора MIE Stiro Pro для глажки, отпаривания и уборки дома

  • Обзор изогнутого 37,5-дюймового IPS-монитора Acer XR382CQK с соотношением сторон 21:9

  • Обзор робота-полотера Everybot RS500

  • Гарнитура 8K VR, беспроводная революция, Яндекс в каждое авто

1212

Календарь

август
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать