Panda Software сообщает об одной из наиболее сложных организованных атак в истории

1174

Лаборатория PandaLabs сообщает об усложненной ‘цепной’ атаке, выполняемой с помощью троянца SpamNet.A, обнаруженного на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру ‘дерева’ для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.

Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц. Что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц.

Когда открывается первая из двух страниц, она в свою очередь открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере.

При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Другие шесть файлов следующие:

  • Первые два – бинарно-идентичные копии троянца Downloader.DQY, и оба создают в операционной системе файл под названием svchost.exe, который в действительности является троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается скачать и запустить файлы с четырех различных веб-адресов, два из которых были недоступны на время написания, и другие два это:
    • Троянец Multidropper.ARW
    • Троянец Sapilayr.A
  • Третий из шестерки файлов — рекламная программа Adware/SpySheriff
  • Четвертый — троянец Downloader.DYB, который пытается определить ID компьютера. Если компьютер находится в Великобритании, он скачивает и запускает дозвонщика Dialer.CHG. Если он не в Великобритании, он скачивает другой файл, идентифицированный как Dialer.CBZ. Эти типы файлов перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера.
  • Пятый файл — Downloader.CRY, создает два файла. Первый из них svchost.exe, создается в c:windowssystem. Второй был идентифицирован как Lowzones.FO.
  • Шестой, Downloader.EBY, создает, в свою очередь, другие шесть файлов:
    • Первый из них — троянец Downloader.DLH, который использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. На время написания, им было собрано 3 миллиона адресов.
    • Второй, троянец Agent.EY, устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях.
    • Третий файл, Clicker.HA, ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд.
    • Четвертый файл — дозвонщик Dialer.CBZ
    • Пятый – рекламная программа Adware/Adsmart
    • Шестой — троянец Downloader.DSV скачивает backdoor-троянца Galapoper.C с определенного адреса. Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое Интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки, и даже может содержать другие инструкции или обновления для Galapoper.C.

      Galapoper.C также создает основной и два вторичных процесса: с помощью первого он периодически проверяет доступность контента на трех страницах, упомянутых выше. Он использует вторичные для рассылки спама (с зараженного компьютера) и компиляции информации с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений, каждые 10 минут или 70 тысяч спамовых писем.

Вторая страница перенаправляет пользователя на другую, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает новую страницу, используя HTML тэг – эта страница была недоступна на время написания статьи.

Она также открывает другую страницу, чей код маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.

Panda Software предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО.

16 августа 2005

12:30

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Кроссовер Volvo XC60 получил накладку на панорамную крышу для наблюдения за солнечным затмением: Накладка получила магнитный каркас, который надежно прикрепляется к крыше автомобиля3

Пятикилограммовая портативная АС JBL Boombox работает без подзарядки 24 часа: Цена колонки составит около 515 долларов11

Смартфон ZTE TL99 с камерой разрешением 20 Мп появился в базе данных TENAA: Основой устройства служит неназванная однокристальная система с четырехъядерным процессором

Ассортимент Xilence Technology пополнили блоки питания серии Performance X: Блоки питания Xilence Performance X снабжены защитой от разнообразных нештатных ситуаций

Рекламная брошюра Samsung Galaxy Note 8 подтверждает информацию о возможностях устройства: Samsung Galaxy Note 8 представят 23 августа

Отделы исследований и разработок Samsung и LG получат в этом году рекордные суммы : Затраты на исследования и разработки Samsung и LG за первые шесть месяцев года составили 7,1% и 6,9% от доходов компаний соответственно4

BlackBerry прислушалась к критике и усилила конструкцию смартфона Keyone: BlackBerry усилила смартфон Keyone

Bluboo S2 станет первым безрамочным смартфоном с четырьмя камерами и оптическим дактилоскопическим датчиком: Соотношение сторон экрана составит 18:9, он будет занимать 91,6% площади лицевой панели2

Аналитики Juniper Research назвали три страны, которые будут лидерами внедрения 5G: По прогнозу Juniper Research, к 2025 году число подключений 5G достигнет 1,4 млрд 3

Новое поколение Apple Watch поможет компании продать 20 млн умных часов в следующем году: Apple сможет существенно нарастить продажи умных часов

Обновлена серия вентиляторов Noctua IndustrialPPC, рассчитанных на напряжение питания до 24 В: В новых моделях используется микросхема драйвера NE-FD41

Подтверждены цены и параметры смартфона YotaPhone 3: YotaPhone 3 будет стоить от 360 до 480 долларов3

Для Lenovo минувший квартал оказался убыточным, хотя средняя цена ПК и планшетов выросла: Компания Lenovo отчиталась за первый квартал 2017/2018 финансового года1

Дизайнер Xiaomi Mi Mix 2 показал, как будет выглядеть новый безрамочный смартфон: По слухам, новинка может выйти в сентябре6

В AnTuTu доминируют смартфоны с SoC Snapdragon 835: iPhone 7 Plus, который был свергнут с позиции лидера в мае этого года, переместился уже на шестую строчку3

Опубликованы фотографии беспроводных ЗУ для новых смартфонов iPhone: Ожидается, что все три новых смартфона iPhone получат поддержку беспроводной зарядки11

Опубликованы характеристики SoC Kirin 970: Новая однокристальная система будет поддерживать сдвоенные камеры с максимальным разрешением до 42 Мп3

Смартфон Meizu M6 Note может получить влагозащищенный корпус: Версия с 4 ГБ ОЗУ будет стоить около $2351

На карте расширения Alphacool HDX5 расположен контроллер RAID, два слота M.2 и два порта SATA, а в комплект входят два радиатора: C помощью Alphacool HDX5 накопители можно объединять в массив RAID 0 или 117

Модули памяти Galax DDR4-4133 HOF Extreme Limited Edition с хромированными радиаторами выпущены очень небольшой партией: Комплекты суммарным объемом 16 ГБ включают по два модуля DDR4-41336

В Apple изобрели акустическую систему в виде массива излучателей, учитывающую местонахождение слушателя: Заявки на патенты уже поданы24

Доход Alibaba Group в прошлом квартале превысил 7,4 млрд долларов: Чистая прибыль Alibaba Group — 2,070 млрд долларов

Samsung добавила своим умным телевизорам поддержку ПО Shazam: Shazam теперь работает и на умных телевизорах Samsung7

Водоблок Alphacool Eisblock Flatboy предназначен для процессоров AMD Ryzen Threadripper : Пока изделие находится в стадии прототипа3

Фотогалерея дня: смартфон Samsung Galaxy Note8 предстал на «живых» снимках: Samsung Galaxy Note8 позирует живьём9

Asus обновит до Android O все смартфоны семейств ZenFone 4 и ZenFone 3: Смартфоны Asus ZenFone 3 тоже получат Android O3

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

  • Обзор электрической скороварки Unit USP-1090D: готовим под давлением

1212

Календарь

август
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать