Инфицирование компьютера жертвы осуществляется при помощи широко распространенного троянца Trojan.PWS.Panda.2395. На первом этапе заражения при помощи поддерживаемой троянцем пиринговой сети на ПК жертвы скачивается исполняемый файл, в котором зашифрован вредоносный модуль. После успешной расшифровки он запускает еще один модуль, считывающий в память компьютера образ другого вредоносного приложения, детектируемого антивирусным ПО Dr.Web как один из представителей семейства Trojan.DownLoader.
Данная программа сохраняется в папку учетной записи пользователя в виде исполняемого файла со случайным именем, после чего модифицирует реестр Windows, чтобы обеспечить себе возможность автоматического запуска одновременно с загрузкой операционной системы.
Весьма интересен алгоритм, используемый троянцем для загрузки на инфицированный компьютер других вредоносных программ. В теле данной модификации Trojan.DownLoader имеется зашифрованный список доменных имен, к которым загрузчик обращается с запросом по протоколу HTTPS. В ответ троянец получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения
После успешной загрузки DDoS-модуль создает до восьми независимых потоков, в которых начинает непрерывно отправлять POST-запросы к серверам из хранящегося в троянце-загрузчике списка, а также пытается установить соединение с рядом серверов по протоколу SMTP, после чего отсылает на них случайные данные. Всего список содержит 200 выбранных в качестве цели для DDoS-атак сайтов, среди которых имеются столь известные ресурсы, как портал love.com, принадлежащий корпорации America On-Line, сайты нескольких крупных американских университетов, а также порталы msn.com, netscape.com и другие.
Но этим функционал троянца-загрузчика не ограничивается. Из списка доменов для DDoS-атак он по специальному алгоритму выбирает один, отправляет на него HTTP-запрос и получает в ответ веб-страницу. Среди содержимого этой веб-страницы троянец также пытается отыскать тег вставки изображения
После успешной загрузки DDoS-модуль создает до восьми независимых потоков, в которых начинает непрерывно отправлять POST-запросы к серверам из хранящегося в троянце-загрузчике списка, а также пытается установить соединение с рядом серверов по протоколу SMTP, после чего отсылает на них случайные данные. Всего список содержит 200 выбранных в качестве цели для DDoS-атак сайтов, среди которых имеются столь известные ресурсы, как портал love.com, принадлежащий корпорации America On-Line, сайты нескольких крупных американских университетов, а также порталы msn.com, netscape.com и другие.
Но этим функционал троянца-загрузчика не ограничивается. Из списка доменов для DDoS-атак он по специальному алгоритму выбирает один, отправляет на него HTTP-запрос и получает в ответ веб-страницу. Среди содержимого этой веб-страницы троянец также пытается отыскать тег вставки изображения
После расшифровки извлеченные из веб-страницы данные превращаются в файл, маскирующийся под изображение в формате JPEG. Этот файл также хранит в себе контейнер, содержимое которого сжато архиватором gzip. Наконец, из архива извлекается вредоносная программа BackDoor.Bulknet.739, представляющая собой троянец-бэкдор, который обладает функционалом для массовой рассылки спама.
Доктор Веб
Комментариев нет:
Отправить комментарий