Перейти к содержанию
AM_Bot

Бот-нет BackDoor.IRC.NgrBot вышел из тени

Recommended Posts

AM_Bot

9 сентября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о новых случаях заражения пользовательских компьютеров вредоносной программой BackDoor.IRC.NgrBot, с использованием которой злоумышленники создали крупную бот-сеть.

Один из способов распространения троянца — модули флеш-памяти. При подключении «флешки» к USB-порту BackDoor.IRC.NgrBot копируется под случайным именем в папку %RECYCLER% и создает файл автозапуска autorun.inf. Оказавшись на незараженной машине, троянец скрывает системные папки в корне жесткого диска и создает вместо них ярлыки, при открытии которых запускается вредоносная программа. Затем BackDoor.IRC.NgrBot сохраняет себя под случайным именем в системную папку %APPDATA%, прописывается в ветке реестра, отвечающей за автозагрузку приложений, и запускается на выполнение. Вслед за этим BackDoor.IRC.NgrBot встраивается в процесс explorer.exe и все запущенные процессы, кроме skype.exe и lsass.exe, после чего исходный файл удаляется из места, откуда он был первоначально загружен. После запуска троянец проверяет свою целостность: если она нарушена, вредоносная программа стирает загрузочный сектор жесткого диска, а также несколько расположенных ниже секторов и демонстрирует на экране сообщение:

«This binary is invalid.

Main reasons:

- you stupid cracker

- you stupid cracker...

- you stupid cracker?!»

Затем троянец пытается получить привилегии для перезапуска системы.

Если заражение произошло, BackDoor.IRC.NgrBot авторизуется на управляющем IRC-сервере, отсылает об этом отчет и начинает получать различные директивы, среди которых могут быть команды обновления бота, переключения на другой канал IRC, удаления бота, передачи статистики, начала DDoS-атаки, включения редиректа — всего предусмотрено несколько десятков команд. Одной из особенностей данной бот-сети является регулярное криптование ботов, которые закачиваются на инфицированные компьютеры в процессе очередного цикла обновления. Таким образом вирусописатели пытаются затруднить детектирование угрозы антивирусным ПО.

Помимо этого, BackDoor.IRC.NgrBot позволяет злоумышленникам реализовывать следующие функции:

  • управление такими программами, как ipconfig.exe, verclsid.exe, regedit.exe, rundll32.exe, cmd.exe, regsvr32.exe;
  • блокировка доступа к сайтам компаний-производителей антивирусного ПО и ресурсам, посвященным информационной безопасности;
  • перехват и отправка злоумышленникам данных учетных записей при посещении пользователем различных сайтов (включая PayPal, YouTube, Facebook, AOL, Gmail, Twitter и др.);
  • перехват и передача злоумышленникам сообщений, отправленных пользователем на сайтах Facebook, Twitter, В Контакте и т.д.;
  • перенаправление пользователя на различные фишинговые сайты.

Каждый из составляющих сеть ботов генерирует собственное имя исходя из версии установленной на инфицированном компьютере операционной системы, ее локализации, прав, с которыми запущен троянец, а также иных данных. Согласно имеющейся в распоряжении специалистов компании «Доктор Веб» информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено 60806 редиректов пользователей на фишинговые сайты, имитирующие оформление банковских систем www.davivienda.com и colpatria.com.

colpatria.com.png

Davivienda.png

Таким образом, можно сделать косвенные выводы о численности ботов, составляющих сеть BackDoor.IRC.NgrBot. Данная бот-сеть действует и в настоящий момент: специалистами компании «Доктор Веб» осуществляется непрерывный мониторинг ее активности. Троянец BackDoor.IRC.NgrBot в различных модификациях включен в вирусные базы Dr.Web. В целях профилактики мы еще раз напоминаем пользователям о необходимости регулярного сканирования дисков их компьютеров обновленным антивирусным ПО.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Ни о каких "тенях" тут быть не может речи. Dorkbot ITW с начала марта 2011, обновлялся в мае и совсем недавно, билдер вообще в паблик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • Зотов Тимур
      Здравствуйте. Мне помог тренинг http://games4business.ru/product/vedenie-peregovorov . Менеджеры стали более уверены в себе, не бояться отвечать на вопросы и не впадают в панику при отказе клиента, а наоборот пытаются сделать все чтоб он передумал.Компания Лаборатория Деловых Игр качественно и профессионально составляют различные тренинги, которые действительно помогают компаниям процветать и развиваться.
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×