Panda Software сообщает об одной из наиболее сложных организованных атак в истории

ПредыдущаяСледующая

Лаборатория PandaLabs сообщает об усложненной ‘цепной’ атаке, выполняемой с помощью троянца SpamNet.A, обнаруженного на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру ‘дерева’ для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.

Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц. Что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц.

Когда открывается первая из двух страниц, она в свою очередь открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере.

При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Другие шесть файлов следующие:

  • Первые два – бинарно-идентичные копии троянца Downloader.DQY, и оба создают в операционной системе файл под названием svchost.exe, который в действительности является троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается скачать и запустить файлы с четырех различных веб-адресов, два из которых были недоступны на время написания, и другие два это:
    • Троянец Multidropper.ARW
    • Троянец Sapilayr.A
  • Третий из шестерки файлов — рекламная программа Adware/SpySheriff
  • Четвертый — троянец Downloader.DYB, который пытается определить ID компьютера. Если компьютер находится в Великобритании, он скачивает и запускает дозвонщика Dialer.CHG. Если он не в Великобритании, он скачивает другой файл, идентифицированный как Dialer.CBZ. Эти типы файлов перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера.
  • Пятый файл — Downloader.CRY, создает два файла. Первый из них svchost.exe, создается в c:windowssystem. Второй был идентифицирован как Lowzones.FO.
  • Шестой, Downloader.EBY, создает, в свою очередь, другие шесть файлов:
    • Первый из них — троянец Downloader.DLH, который использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. На время написания, им было собрано 3 миллиона адресов.
    • Второй, троянец Agent.EY, устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях.
    • Третий файл, Clicker.HA, ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд.
    • Четвертый файл — дозвонщик Dialer.CBZ
    • Пятый – рекламная программа Adware/Adsmart
    • Шестой — троянец Downloader.DSV скачивает backdoor-троянца Galapoper.C с определенного адреса. Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое Интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки, и даже может содержать другие инструкции или обновления для Galapoper.C.

      Galapoper.C также создает основной и два вторичных процесса: с помощью первого он периодически проверяет доступность контента на трех страницах, упомянутых выше. Он использует вторичные для рассылки спама (с зараженного компьютера) и компиляции информации с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений, каждые 10 минут или 70 тысяч спамовых писем.

Вторая страница перенаправляет пользователя на другую, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает новую страницу, используя HTML тэг – эта страница была недоступна на время написания статьи.

Она также открывает другую страницу, чей код маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.

Panda Software предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО.

16 августа 2005 Г.

12:30

Ctrl
ПредыдущаяСледующая
194
194

Все новости за сегодня

Ferrari выпустит электрический суперкар, чтобы составить конкуренцию Tesla: Сначала Ferrari выпустит автомобили с гибридной силовой установкой

За управление дроном в нетрезвом состоянии в Нью-Джерси грозит полгода тюрьмы: Аналогичный законопроект в данный момент рассматривается в Великобритании

Infiniti планирует начать выпуск электромобилей в 2021 году: В 2025 году более половины выпускаемых машин Infiniti будут электромобилями

Обновленный контроллер Xbox Elite получит поддержку Windows 10 и разъем USB-C: Даты выхода у нового геймпада пока нет

В сентябре Razer анонсирует новый смартфон и коммерческую версию док-станции Project Linda: Razer Project Linda воплотят в серийный продукт9

Переводить Ирландии 13 млрд евро компания Apple будет с марта по сентябрь текущего года: Apple будет переводить Ирландии деньги до сентября 14

В Австралии двое утопающих были спасены посредством дрона: Дроны в Австралии помогут спасать людей7

В прошлом году в мире на мобильные приложения было потрачено 86 млрд долларов: Среднестатистический пользователь проводит в мобильных приложениях 43 дня в году8

Moto Folio — самый доступный модуль для смартфонов Moto Z: Модуль Moto Folio является чехлом-книжкой7

-

iXBT TV

  • Обзор автомобиля Mercedes-Benz E 220 d 4Matic All-Terrain Luxury: полноприводный внедорожный универсал

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

  • Apple специально замедляет старые iPhone, VR-революция, крошечный телефон

  • Обзор широкоугольного объектива Canon EF 35 mm F1.4L II USM

  • Обзор робота-пылесоса Kitfort KT-516 со сменными уборочными блоками

  • iMac Pro за $13 000, космический туризм, клавиатурные шпионы от HP

Календарь

август
Пн
Вт
Ср
Чт
Пт
Сб
Вс

-