BackDoor.BlackEnergy скрывается за "Невинностью мусульман"

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует об обнаружении новой модификации BackDoor.BlackEnergy, участвующего в создании бот-сети из зараженных компьютеров. Троянец рассылается вместе с письмами, в теме которых указано название скандального фильма «Невинность мусульман». При этом направлены эти письма в украинские госструктуры. Инфицированные BackDoor.BlackEnergy компьютеры могут использоваться злоумышленниками для организации DDoS-атак, осуществления массовых спам-рассылок  и других противоправных действий.

Многокомпонентный бэкдор BlackEnergy до недавнего времени использовался для создания одного из самых крупных спам-ботнетов - в пик активности на его долю приходилось до 18 миллиардов сообщений в день. Благодаря усилиям специалистов по информационной безопасности в июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин, что привело к заметному снижению общемирового объема спам-трафика. Однако полностью вредоносная деятельность BlackEnergy не была прекращена, т. к. активными оставались менее крупные командные центры бот-сети. Судя по всему, создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии троянца.


Новая модификация бэкдора, добавленная в антивирусные базы Dr.Web под именем BackDoor.BlackEnergy.18, распространяется при помощи сообщений электронной почты с вложенным документом Microsoft Word. Любопытной особенностью обнаруженных писем является то, что они адресованы лицам из украинских государственных ведомств, таких как Министерство иностранных дел Украины и посольство Украины в Соединенных Штатах Америки.

Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который использует уязвимость одного из компонентов ActiveX (ActiveX применяется приложением Word и некоторыми другими продуктами Microsoft для Windows). При попытке открытия документа во временный каталог пользователя сохраняются два файла, имеющие имена «WinWord.exe» и «Невинность мусульман.doc». Первый файл является дроппером троянца BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

После запуска дроппера выполняется открытие второго сохраненного файла, представляющего собой обычный документ Microsoft Word. Именно он содержит исходную информацию, которую жертва и ожидала получить. Тем самым снижается риск возникновения каких-либо подозрений со стороны пользователя.

Бэкдоры семейства BackDoor.BlackEnergy представляют собой модульных троянцев, осуществляющих вредоносную деятельность при помощи отдельно загружаемых плагинов. Новая модификация в этом плане ничем не отличается от предыдущих. Для своей работы троянец использует специальный конфигурационный файл в формате xml, получаемый с управляющего сервера, расположенного по адресу 194.28.172.58.


Помимо модулей для операционных систем семейства Windows, были замечены плагины, которые представляют собой исполняемые ELF-файлы, работающие в ОС Linux на базе процессоров Intel c 32-битной системной логикой.



Стоит отметить, что для плагинов, скомпилированных под ОС Linux, в конфигурационном файле указана первая версия и отсутствует информация об управляющих серверах. Вполне вероятно, что включение их в список загрузки, предназначенный для Windows-версии троянца, является ошибкой его авторов. Специалисты компании «Доктор Веб» полагают, что Linux-версия этой вредоносной программы распространяется при помощи специального дроппера.

Для пользователей продуктов Dr.Web троянец не представляет угрозы: необходимые сигнатуры уже внесены в вирусную базу антивируса .