Детали о BackDoor.Flashback.39

Flashback Эксперты компании «Врач Web» —продолжают изучения первого в истории крупномасштабного ботнета

Эксперты отечественного создателя средств справочной безопасности — продолжают изучения первого в истории крупномасштабного ботнета, сделанного мошенниками с применением троянской платформы BackDoor.Flashback для ПК, работающих под регулированием ОС Mac OS X. Одним из объектов наиболее изучающего обучения стали субъекты, которые троянец грузит с принадлежащих злодеям командных компьютеров и пускает на инфицированном ПК.

Напоминаем, что троянец BackDoor.Flashback.39, применяя уязвимости Java, сохраняет на винчестер Apple-совместимого ПК выполняемый документ и особый документ, соответствующий за старт дополнения. После данного применяется сервис launchd, которому сообщается сохраненный на диске конфигурационный документ, что дает возможность включить троянца без участия клиента. Потом BackDoor.Flashback.39 связывается с правящим компьютером, грузит на зараженную автомашину выполняемый документ, и ставит его в системе. В то же время троянец показывает на дисплее «мака» интерактивное окно для ввода пароля администратора. Если клиент показывает данный пароль, вредная платформа пускается с высокими преимуществами, но даже если пароль не будет введен, троянец сохраняется в «семейную» папку клиента и пускается с применением прав его учетной записи. Пользовательских прав в ОС ему достаточно для того, чтобы осуществить собственный вредный потенциал.

Детали о BackDoor.Flashback.39

Статистика Врач Web

В будущем загружаемым на диск вредным дополнением применяется 2 вида правящих компьютеров. Первая группа командных центров реализует функции перехвата поискового трафика, перенаправления клиента на контролируемые мошенниками веб-сайты в ходе веб-серфинга и определенные иные действия. 2-я команда дает возможность давать ботам разные команды, реализующие на инфицированной автомашине функции бэкдора. Экспертам компании «Врач Web» удалось остановить применяемые необходимой перегрузкой троянца BackDoor.Flashback домены правящих компьютеров и выполнить тест посланий к ним роботов.

Детали о BackDoor.Flashback.39

Статистика Врач Web

Первая группа доменов правящих компьютеров производится троянцем на базе положенного в его конфигурационных данных перечня, в добавление к ним создается второй список доменов, имена которых находятся в зависимости от нынешней даты. При этом сформированное вредной платформой имя домена 2-го значения одинаковое, тогда как в роли домена высшего значения применяются разные виды, такие как .org, .com, .co.uk, .cn, .in. Все правящие компьютеры опрашиваются троянцем по очереди в порядке построенного перечня, при этом командному центру сообщается GET-запрос /owncheck/ либо /scheck/, имеющий в поле useragent значение UUID зараженного «мака». Если в ответ троянец обретет записанное значение SHA1 от имени домена, то такой домен будет являться уполномоченным и в будущем будет применяться в роли командного компьютера. Первые домены из данной группы были удачно перехвачены организацией «Врач Web» начиная с 12 мая 2012 года.

После того как вредная платформа установит домен из первой группы, стартует поиск доменов 2-го вида. На базе положенного в конфигурационных данных перечня бот опрашивает ряд доменов правящих компьютеров, давая им GET-запрос /auupdate/, имеющий в поле useragent детальную информацию об инфицированной системе.

Если правящий компьютер не возвратит верный ответ, троянец создает на базе нынешней даты строчку, которую применяет в роли хеш-тега для поиска по адресу http://mobile.твиттер.com/searches?q=#<строка&ДжиТи;. К примеру, для даты 13.04.2012 определенные версии троянца создают строчку вида «rgdgkpshxeoa» (у других модификаций бота строка может различаться). Если в Твиттер получается увидеть известие, сохраняющее метки bumpbegin и endbump, между которыми находится адрес правящего компьютера, он будет применен в роли имени домена. Захват доменов данной группы организация «Врач Web» начала 13 мая, но на следующий день, в воскресенье 14 мая, оформленная экспертами «Врач Web» учетная запись в Твиттер была блокирована.

По сведениям на 13 мая 2012 года, на правящие домены первой компании в течение дня поступило 30 549 запросов с эксклюзивными UUID, на домены 2-й группы — 28 284 запросов с эксклюзивными UUID за такой же интервал времени. Полное количество запросов с эксклюзивными UUID, направленных на правящие компьютеры необходимой перегрузки ботнета BackDoor.Flashback, во время с 12 по 26 мая 2012 года составило 95 563.

Ресурс: Врач Web

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *