Перейти к содержанию
AM_Bot

Новый IRC-бот распространяет спам в сетях мгновенного обмена сообщениями

Recommended Posts

AM_Bot

24 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении новой модификации IRC-бота, добавленного в вирусные базы под именем BackDoor.IRC.IMBot.2. Как и другие представители данного семейства, этот бот способен рассылать спам в сетях мгновенного обмена сообщениями, загружать на инфицированный компьютер и запускать исполняемые файлы, а также осуществлять по команде с управляющего сервера DDoS-атаки.

Существует огромное количество модификаций троянских программ, использующих в своей работе IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени. Более того, новые версии IRC-ботов появляются с завидной регулярностью. С этой точки зрения BackDoor.IRC.IMBot.2 можно было бы назвать типичным представителем данного семейства, если бы не одно отличие.

imbot_450.png

BackDoor.IRC.IMBot.2 распространяется аналогично другим известным IRC-ботам: сохраняет себя на сменные носители под именем usb_driver.com и создает в корневой директории файл autorun.inf, с помощью которого осуществляется запуск троянца при подключении устройства (если данная функция не была заранее заблокирована в настройках операционной системы).

Запускаясь в инфицированной системе, BackDoor.IRC.IMBot.2 сохраняет себя в папку установки Windows и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозапуск приложений. Также BackDoor.IRC.IMBot.2 изменяет настройки брандмауэра Windows, для того чтобы обеспечить себе соединение с Интернетом.

Наиболее интересной чертой данного бота является встроенный в него своеобразный механизм поиска процессов с именами dumpcap, SandboxStarter, tcpview, procmon, filemon. Будучи запущенным на компьютере жертвы, троянец обращается к разделу системного реестра HKEY_PERFORMANCE_DATA, отвечающего за определение производительности ПК, и ищет с помощью размещающихся в данном разделе счетчиков запущенные в операционной системе процессы. Данный алгоритм интересен тем, что ранее он не встречался в других вредоносных программах подобного типа.

BackDoor.IRC.IMBot.2 способен загружать и запускать на инфицированном компьютере исполняемые файлы, распространять спам в сетях, использующих для обмена сообщениями программы MSN Messenger, AOL Instant Messenger, Yahoo! Messenger, а также по команде с удаленного сервера организовывать DDoS-атаки. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Кто-нибудь в курсе, Доктор хэши вообще никогда не помечает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      (!) Эта версия пока протестирована только для старших систем Win7 & Win10, в младших возможны проблемы.
      ---------------------------------------------------------
       4.0.19
      ---------------------------------------------------------
       o В окно информации о процессе добавлены проценты загрузки GPU с момента _создания_ процесса.
         Процесс со средней загрузкой >15% хотя бы одного видеоадаптера автоматически получает статус "подозрительный".
         Любой процесс использующий ресурсы GPU получает новый статус "GPU".
         Процессы НЕ использущие впрямую GPU не имеют строчек загрузки GPU в информации о файле.
         GPU нумеруются с 1-ки, нумерация произвольная и не имеет отношения к реальному порядку видеокарт на шине.
         Загрузка считается для каждого видеоадаптера отдельно.  o Оптимизирована функция поиска внедренных потоков.  o Теперь замороженные потоки в логе помечаются дополнительным индикатором состояния "[suspended]".    Майнер в логе:
      (!) Процесс нагружает GPU 1: C:\TOOLS\ZCASH\ZECMINER64.EXE
      (!) Процесс нагружает GPU 2: C:\TOOLS\ZCASH\ZECMINER64.EXE
      (!) Процесс нагружает GPU 3: C:\TOOLS\ZCASH\ZECMINER64.EXE
      (!) Процесс нагружает GPU 4: C:\TOOLS\ZCASH\ZECMINER64.EXE

      В  окне информации о файле:
    • demkd
      ничего действительно рабочего в данный момент не существует, uVS будет первым
    • PR55.RP55
      1) Код system monitor с отслеживанием GPU https://github.com/brndnmtthws/conky/blob/fcbc5c8ba2a9546f50661a4846aef2f76f07a066/src/nvidia.cc 2) Возможно стоит найти Benchmark с открытым исходным кодом.
    • demkd
      даже скомплировалось, но интереса никакого не представляет, проще использвать WMI для этого, который и в XP работает в отличии от этого примера,  еще и работает криво, даже набортную видео память правильно определить не смогло, 4Gb рисует вместо 11gb. а это вообще не в тему.
    • PR55.RP55
      Возможно будет полезно. 1) Обнаружение GPU intel с примером кода. https://software.intel.com/ru-ru/articles/gpu-detect-sample 2) Использование GPU - Visual Studio  в плане тестирования. https://msdn.microsoft.com/ru-ru/library/mt126195.aspx    
×