Компания «Доктор Веб» — ведущий российский
разработчик средств информационной безопасности — сообщает о новых
случаях заражения пользовательских компьютеров вредоносной программой BackDoor.IRC.NgrBot, с использованием которой злоумышленники создали крупную бот-сеть.
Один из способов распространения троянца — модули флеш-памяти. При подключении «флешки» к USB-порту BackDoor.IRC.NgrBot
копируется под случайным именем в папку %RECYCLER% и создает файл
автозапуска autorun.inf. Оказавшись на незараженной машине, троянец
скрывает системные папки в корне жесткого диска и создает вместо них
ярлыки, при открытии которых запускается вредоносная программа. Затем BackDoor.IRC.NgrBot
сохраняет себя под случайным именем в системную папку %APPDATA%,
прописывается в ветке реестра, отвечающей за автозагрузку приложений, и
запускается на выполнение. Вслед за этим BackDoor.IRC.NgrBot
встраивается в процесс explorer.exe и все запущенные процессы, кроме
skype.exe и lsass.exe, после чего исходный файл удаляется из места,
откуда он был первоначально загружен. После запуска троянец проверяет
свою целостность: если она нарушена, вредоносная программа стирает
загрузочный сектор жесткого диска, а также несколько расположенных ниже
секторов и демонстрирует на экране сообщение:
«This binary is invalid.
Main reasons:
- you stupid cracker
- you stupid cracker...
- you stupid cracker?!»
Затем троянец пытается получить привилегии для перезапуска системы.
Если заражение произошло, BackDoor.IRC.NgrBot
авторизуется на управляющем IRC-сервере, отсылает об этом отчет и
начинает получать различные директивы, среди которых могут быть команды
обновления бота, переключения на другой канал IRC, удаления бота,
передачи статистики, начала DDoS-атаки, включения редиректа — всего
предусмотрено несколько десятков команд. Одной из особенностей данной
бот-сети является регулярное криптование ботов, которые закачиваются на
инфицированные компьютеры в процессе очередного цикла обновления. Таким
образом вирусописатели пытаются затруднить детектирование угрозы
антивирусным ПО.
Помимо этого, BackDoor.IRC.NgrBot позволяет злоумышленникам реализовывать следующие функции:
- управление такими программами, как ipconfig.exe, verclsid.exe, regedit.exe, rundll32.exe, cmd.exe, regsvr32.exe;
- блокировка доступа к сайтам компаний-производителей антивирусного ПО и ресурсам, посвященным информационной безопасности;
- перехват и отправка злоумышленникам данных учетных записей при
посещении пользователем различных сайтов (включая PayPal, YouTube,
Facebook, AOL, Gmail, Twitter и др.);
- перехват и передача злоумышленникам сообщений, отправленных пользователем на сайтах Facebook, Twitter, В Контакте и т.д.;
- перенаправление пользователя на различные фишинговые сайты.
Каждый из составляющих сеть ботов генерирует собственное имя исходя
из версии установленной на инфицированном компьютере операционной
системы, ее локализации, прав, с которыми запущен троянец, а также иных
данных. Согласно имеющейся в распоряжении специалистов компании «Доктор
Веб» информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено 60806 редиректов пользователей на фишинговые сайты, имитирующие оформление банковских систем www.davivienda.com и colpatria.com.
Таким образом, можно сделать косвенные выводы о численности ботов, составляющих сеть BackDoor.IRC.NgrBot.
Данная бот-сеть действует и в настоящий момент: специалистами компании
«Доктор Веб» осуществляется непрерывный мониторинг ее активности.
Троянец BackDoor.IRC.NgrBot
в различных модификациях включен в вирусные базы Dr.Web. В целях
профилактики мы еще раз напоминаем пользователям о необходимости
регулярного сканирования дисков их компьютеров обновленным антивирусным
ПО.
|