Перейти к содержанию
AM_Bot

Обнаружен новый IRC-бот

Recommended Posts

AM_Bot

18 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении вредоносной программы BackDoor.IRC.Aryan.1, способной загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера (IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени).

Вредоносное приложение BackDoor.IRC.Aryan.1 можно отнести к категории IRC-ботов. Программа распространяется самокопированием на съемные носители путем создания в корневой директории диска инфицированной папки

и файла автозапуска autorun.inf. Кроме того, BackDoor.IRC.Aryan.1 применяет еще один способ заражения сменных носителей информации: бот копирует себя на съемный диск, прячет обнаруженные файлы в созданную им папку, а вместо них помещает ярлыки, ссылающиеся как на спрятанный оригинальный файл, так и на саму вредоносную программу. В результате при активизации такого ярлыка пользователем, помимо открытия искомого файла, запускается BackDoor.IRC.Aryan.1. Успешно инфицировав диск, бот отправляет соответствующее сообщение на специально созданный злоумышленниками IRC-канал.

aryan.1.png

Затем вредоносная программа копирует себя в одну из папок как svmhost.exe и помещает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматический запуск приложений при загрузке Windows. Также бот пытается встроить код в процесс explorer.exe.

Помимо прочего, BackDoor.IRC.Aryan.1 обладает механизмом самозащиты: в отдельном потоке бот постоянно проверяет свое наличие на диске и, в случае отсутствия соответствующего файла в целевой папке, сохраняет его туда из оперативной памяти. Параллельно осуществляется проверка наличия соответствующей записи в системном реестре Windows. Также BackDoor.IRC.Aryan.1 пытается встроить код, задачей которого является систематический перезапуск вредоносной программы, в процессы csrss.exe, alg.exe и dwm.exe.

BackDoor.IRC.Aryan.1 обладает функционалом, позволяющим загружать с удаленного сервера и запускать на инфицированном компьютере различные исполняемые файлы, а также выполнять по команде злоумышленников DDoS-атаки. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Пользователям также рекомендуется проявлять осторожность при работе со сменными накопителями и по возможности отключить функцию автозапуска в настройках операционной системы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Кто хотел, тот уже давно вставил в базы данный сэмпл :facepalm:

Можно предположить, что и распространение уже идет\ушло на спад :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Кто хотел, тот уже давно вставил в базы данный сэмпл :facepalm:

Можно предположить, что и распространение уже идет\ушло на спад :)

Ни о чем не говорит, такие боты и модификации известны уже лет 10. То что у всех он идет в базах, ничего не говорит о конкретно этой модификации.

Symantec / Backdoor.IRC.Bot - Initial Rapid Release version May 2, 2003

Microsoft / Worm:Win32/Nayrabot.gen!A - Detection initially created: : Aug 24, 2011

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
То что у всех он идет в базах, ничего не говорит о конкретно этой модификации.

Причем часть модификаций вообще детектится как Trojan.Packed, а часть - ориджином.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • aleks87
      Форум Казино http://igrokicasino.forum.cool
      Форум игроков казино http://igrokicasino.forum.cool/
      Форум бездепозитных бонусов казино http://igrokicasino.forum.cool/
      Топ Форум онлайн казино http://igrokicasino.forum.cool/
    • Dilyaako
      можно вообще сделать ход конём - подарить самогонный аппарат начального уровня . будет чем заняться в декрете. даже можно будет продавать, хотя бы местным) качественные напитки всегда спрос иметь будут. ну и в целом хобби найти было бы неплохо, чтобы не заскучала)
    • alexkirilov2018
      Добро пожаловать на сайт! Портал новостей «Листай.ру» создан с целью отражения общественной новостной повестки в России и мире. У нас на сайте любой пользователь может ознакомиться со свежей и актуальной информацией по большинству значимых общественных тем в стране. Среди таких тем: Политика, экономика, пенсионные вопросы, ЖКХ, деньги, вопросы изменений в действующее законодательство РФ, дачные темы, спорт, техника и многое другое.
    • alexkirilov2018
      Наказывать нужно за расклейку таких вот украшений!
    • Gannadey
      Мы когда переехали в этот поселок, то тоже, само собой задавались этим вопросом. Так как работа у меня связана с интернетом, то мне бы хотелось, помимо дешевых тарифов и хорошего интернета, ещё и быстрое подключение. Полазил по сайтам провайдеров и фразочки типа " подключение в течении 3-4х дней" меня никак не устраивали. Но нашёл здесь https://it-yota.ru/uslugi/internet-mosoblast/dmitrovskij-rajon/poselok-nekrasovskij.html , что подключают в тот же день, глянул и на тарифы, условия и всё меня устроило. Подключили и вправду в тот же день, всё работает отлично. Сбоев и обрывов сети не было. 
×