You are hereГруппы / Безопасность / Вирус Alureon собирает данные о командных центрах из публично доступных ресурсов

Вирус Alureon собирает данные о командных центрах из публично доступных ресурсов


By yuliya - Posted on 29 сентября 2011

Картинка: 
Alureon,  вирус,  MIcrosoft

Сотрудник компании Microsoft обнаружил версию троянской программы Alureon, способную получать информацию о командных серверах ботсети через публично размещенные файлы изображений.

Большая часть вирусов семейства Alureon предназначена для кражи конфиденциальной информации (логинов, паролей, номеров кредитных карт и пр.), помещения вредоносного кода на сторонние компьютеры, а также для изменения DNS настроек системы.

Обнаруженная сотрудниками Microsoft ветка, часто загружаемая ложной программой дефрагментации из семейства FakeSysdef, недавно начала использовать дополнительный компонент. После расшифровки и анализа этого компонента исследователь обнаружил, что он несет в себе криптографический функционал и возможность обработки JPG-файлов. Также файл компонента содержал ряд URL адресов, которые ссылались на web-страницы LiveJournal и WordPress.

«Содержимое каждой страницы оказалось невредоносным и вмещало различные JPG-изображения, размещенные на сервисе imageshack.us», - говорится в сообщении Microsoft. Но самое интересное открытие было совершено после того, как исследователь обнаружил на нескольких изображениях состоящую из 61 символа ASCII строку, которая выглядела как пароль.

«После более пристального исследования я смог определить, что прикрепленный к каждому из JPG-файлов код содержал файл конфигурации… Один из критических секторов файла конфигурации содержал список серверов управления. Цель создания публично размещенной базы данных стала ясна – создание дополнительного слоя защиты», - говорится на блоге Technet. Таким образом, в случае отключения действующих серверов управления вирусом, злоумышленники могут внести изменения в JPG-изображения, размещенные на сервисе imageshack.us и получить контроль над своей ботсетью через другие серверы.


securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 486 гостей.

Последние комментарии