Вирус Alureon собирает данные о командных центрах из публично доступных ресурсов

Картинка: 

Сотрудник компании Microsoft обнаружил версию троянской программы Alureon, способную получать информацию о командных серверах ботсети через публично размещенные файлы изображений.

Большая часть вирусов семейства Alureon предназначена для кражи конфиденциальной информации (логинов, паролей, номеров кредитных карт и пр.), помещения вредоносного кода на сторонние компьютеры, а также для изменения DNS настроек системы.

Обнаруженная сотрудниками Microsoft ветка, часто загружаемая ложной программой дефрагментации из семейства FakeSysdef, недавно начала использовать дополнительный компонент. После расшифровки и анализа этого компонента исследователь обнаружил, что он несет в себе криптографический функционал и возможность обработки JPG-файлов. Также файл компонента содержал ряд URL адресов, которые ссылались на web-страницы LiveJournal и WordPress.

«Содержимое каждой страницы оказалось невредоносным и вмещало различные JPG-изображения, размещенные на сервисе imageshack.us», - говорится в сообщении Microsoft. Но самое интересное открытие было совершено после того, как исследователь обнаружил на нескольких изображениях состоящую из 61 символа ASCII строку, которая выглядела как пароль.

«После более пристального исследования я смог определить, что прикрепленный к каждому из JPG-файлов код содержал файл конфигурации… Один из критических секторов файла конфигурации содержал список серверов управления. Цель создания публично размещенной базы данных стала ясна – создание дополнительного слоя защиты», - говорится на блоге Technet. Таким образом, в случае отключения действующих серверов управления вирусом, злоумышленники могут внести изменения в JPG-изображения, размещенные на сервисе imageshack.us и получить контроль над своей ботсетью через другие серверы.

securitylab.ru