Обнаружен новый IRC-бот - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обнаружен новый IRC-бот

Recommended Posts

AM_Bot

18 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении вредоносной программы BackDoor.IRC.Aryan.1, способной загружать с удаленного сервера злоумышленников различные файлы и устраивать DDoS-атаки по команде с IRC-сервера (IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени).

Вредоносное приложение BackDoor.IRC.Aryan.1 можно отнести к категории IRC-ботов. Программа распространяется самокопированием на съемные носители путем создания в корневой директории диска инфицированной папки

и файла автозапуска autorun.inf. Кроме того, BackDoor.IRC.Aryan.1 применяет еще один способ заражения сменных носителей информации: бот копирует себя на съемный диск, прячет обнаруженные файлы в созданную им папку, а вместо них помещает ярлыки, ссылающиеся как на спрятанный оригинальный файл, так и на саму вредоносную программу. В результате при активизации такого ярлыка пользователем, помимо открытия искомого файла, запускается BackDoor.IRC.Aryan.1. Успешно инфицировав диск, бот отправляет соответствующее сообщение на специально созданный злоумышленниками IRC-канал.

aryan.1.png

Затем вредоносная программа копирует себя в одну из папок как svmhost.exe и помещает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматический запуск приложений при загрузке Windows. Также бот пытается встроить код в процесс explorer.exe.

Помимо прочего, BackDoor.IRC.Aryan.1 обладает механизмом самозащиты: в отдельном потоке бот постоянно проверяет свое наличие на диске и, в случае отсутствия соответствующего файла в целевой папке, сохраняет его туда из оперативной памяти. Параллельно осуществляется проверка наличия соответствующей записи в системном реестре Windows. Также BackDoor.IRC.Aryan.1 пытается встроить код, задачей которого является систематический перезапуск вредоносной программы, в процессы csrss.exe, alg.exe и dwm.exe.

BackDoor.IRC.Aryan.1 обладает функционалом, позволяющим загружать с удаленного сервера и запускать на инфицированном компьютере различные исполняемые файлы, а также выполнять по команде злоумышленников DDoS-атаки. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Пользователям также рекомендуется проявлять осторожность при работе со сменными накопителями и по возможности отключить функцию автозапуска в настройках операционной системы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Кто хотел, тот уже давно вставил в базы данный сэмпл :facepalm:

Можно предположить, что и распространение уже идет\ушло на спад :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Кто хотел, тот уже давно вставил в базы данный сэмпл :facepalm:

Можно предположить, что и распространение уже идет\ушло на спад :)

Ни о чем не говорит, такие боты и модификации известны уже лет 10. То что у всех он идет в базах, ничего не говорит о конкретно этой модификации.

Symantec / Backdoor.IRC.Bot - Initial Rapid Release version May 2, 2003

Microsoft / Worm:Win32/Nayrabot.gen!A - Detection initially created: : Aug 24, 2011

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
То что у всех он идет в базах, ничего не говорит о конкретно этой модификации.

Причем часть модификаций вообще детектится как Trojan.Packed, а часть - ориджином.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
    • PR55.RP55
      Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает. Есть системный дамп. https://disk.yandex.ru/d/6R97oQE3_nzfiA + Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg Тоже может быть использована.
×