Перейти к содержанию
AM_Bot

Новый IRC-бот распространяет спам в сетях мгновенного обмена сообщениями

Recommended Posts

AM_Bot

24 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении новой модификации IRC-бота, добавленного в вирусные базы под именем BackDoor.IRC.IMBot.2. Как и другие представители данного семейства, этот бот способен рассылать спам в сетях мгновенного обмена сообщениями, загружать на инфицированный компьютер и запускать исполняемые файлы, а также осуществлять по команде с управляющего сервера DDoS-атаки.

Существует огромное количество модификаций троянских программ, использующих в своей работе IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени. Более того, новые версии IRC-ботов появляются с завидной регулярностью. С этой точки зрения BackDoor.IRC.IMBot.2 можно было бы назвать типичным представителем данного семейства, если бы не одно отличие.

imbot_450.png

BackDoor.IRC.IMBot.2 распространяется аналогично другим известным IRC-ботам: сохраняет себя на сменные носители под именем usb_driver.com и создает в корневой директории файл autorun.inf, с помощью которого осуществляется запуск троянца при подключении устройства (если данная функция не была заранее заблокирована в настройках операционной системы).

Запускаясь в инфицированной системе, BackDoor.IRC.IMBot.2 сохраняет себя в папку установки Windows и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозапуск приложений. Также BackDoor.IRC.IMBot.2 изменяет настройки брандмауэра Windows, для того чтобы обеспечить себе соединение с Интернетом.

Наиболее интересной чертой данного бота является встроенный в него своеобразный механизм поиска процессов с именами dumpcap, SandboxStarter, tcpview, procmon, filemon. Будучи запущенным на компьютере жертвы, троянец обращается к разделу системного реестра HKEY_PERFORMANCE_DATA, отвечающего за определение производительности ПК, и ищет с помощью размещающихся в данном разделе счетчиков запущенные в операционной системе процессы. Данный алгоритм интересен тем, что ранее он не встречался в других вредоносных программах подобного типа.

BackDoor.IRC.IMBot.2 способен загружать и запускать на инфицированном компьютере исполняемые файлы, распространять спам в сетях, использующих для обмена сообщениями программы MSN Messenger, AOL Instant Messenger, Yahoo! Messenger, а также по команде с удаленного сервера организовывать DDoS-атаки. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Кто-нибудь в курсе, Доктор хэши вообще никогда не помечает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dumki_by
      Я помимо основного проекта, подрабатываю на других, выполняя по сути ту же работу, но в меньших масштабах и в свободное время.
      Получается и опыт получаю, и дополнительно зарабатываю деньги.
    • maxxan
      На сайте Favoritnr1.com можно выбрать бк и попробовать сделать ставку даже за виртуальные деньги
    • demkd
      да, удалится только то что есть в разделе wmi
    • PR55.RP55
      PowerShell + WMI https://github.com/FortyNorthSecurity/WMImplant нет на них зоозащитников.
    • Kirs
      Да ничего такого уж сложного, я без проблем разобрался. По крайней мере, это точно проще и дешевле, чем обращаться к услугам дизайнера. К тому же, интерьер с помощью этих программ можно создать реально необычный. Тем более, что я нашел с помощью этого сервиса https://sellercheck.ru/c/1000031047  дизайнерские светильники хорошего качества, от надежных продавцов на алиэкспрессе. Поэтому дизайн квартиры получился оригинальным, не таким как у всех. Так что скачайте программу, и пробуйте ей пользоваться, ничего сложного в этом нет.
×