Ответить на комментарий

Картинка: 

Порой обнаружение ботнета становится нелегкой задачей, особенно если запутаться в различных компонентах, таких как дропперы, инфекторы и прочие неприятные вещи.

Около двух недель назад Хосе Назарио из Arbor Networks обратил мое внимание на новый зловред, оказавшийся еще одним P2P-ботом. После исполнения программа устанавливает большое количество всякой всячины, в том числе

• Исполняемый файл, скрытый в альтернативном потоке данных,
• Три генератора («майнера») Bitcoin: Ufasoft miner, RCP miner и Phoenix miner,
• Файл с информацией о географическом расположении IP-адресов.

Однако, пока оставим этот вопрос в стороне и поговорим об архитектуре ботнета, который на самом деле является всего лишь каналом для доставки других вредоносных программ на зараженные машины. Покопавшись в установленных программах, мы, наконец, нашли сам бот, который мы детектируем как Trojan.Win32.Miner.h. Файл защищен от анализа с помощью нескольких слоев обфускации, но в конце концов записывает исполняемый файл, сжатый упаковщиком UPX, в секцию памяти, откуда может быть восстановлен оригинальный код.

Помимо прочего, сразу же привлекает внимание список из 1953 строк IP-адресов, прописанных непосредственно в коде зловреда. Бот обращается к этим адресам на стадии загрузки для присоединения к пиринговой сети.

Для проверки, является ли удаленный хост на самом деле частью ботнета, он сначала тестируется на порте 62999/tcp. После этого вся последующая коммуникация с этим хостом происходит через HTTP-соединения на порте 8080/tcp.

©xakepy.cc