Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении очередной троянской программы семейства BackDoor.BlackEnergy. В июле 2012 года в СМИ появились публикации о ликвидации основных управляющих серверов ботнета на основе данного троянца, однако еще в течение нескольких месяцев бот-сеть BlackEnergy проявляла остаточную активность, которая практически полностью прекратилась осенью 2012 года. И вот в январе 2013 года появилась новая модификация этой угрозы.
BackDoor.BlackEnergy — сложная многокомпонентная троянская программа, в основном предназначенная для рассылки спама. С использованием этого вредоносного приложения злоумышленникам удалось создать одну из самых крупных в мире бот-сетей для рассылки почтовых сообщений: в пик активности на его долю приходилось до 18 миллиардов писем в день. Троянцы семейства BackDoor.BlackEnergy используют для своей работы подгружаемые модули и конфигурационный файл в формате xml, получаемый с управляющего сервера.
Владельцами новой версии троянца, получившей обозначение BackDoor.BlackEnergy.36, вероятно являются те же злоумышленники, которые эксплуатировали предыдущие модификации данной вредоносной программы. Об этом говорит тот факт, что BackDoor.BlackEnergy.36 использует для шифрования данных тот же ключ, что применялся в некоторых бот-сетях BlackEnergy, командные центры которых были ликвидированы летом 2012 года.
Вредоносная программа BackDoor.BlackEnergy.36 имеет два основных отличия от предыдущих редакций: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.
К настоящему времени специалисты «Доктор Веб» зафиксировали несколько управляющих серверов BackDoor.BlackEnergy.36, с использованием которых злоумышленники пытаются построить новый ботнет для массового распространения спама. Аналитики продолжают внимательно следить за развитием ситуации, в то время как сигнатура BackDoor.BlackEnergy.36 была добавлена в вирусные базы, благодаря чему этот троянец более не опасен для пользователей, установивших на своих компьютерах антивирусное ПО Dr.Web.
Источник: Компания «Доктор Веб»