ЛК: В Сети зафиксирована активность вируса, распространяемого через Tor

ЛК: В Сети зафиксирована активность вируса, распространяемого через Tor

После запуска троян записывает нажатия клавиш в журнал «system.log», а также фиксирует все запускаемые процессы.

Экспертам «Лаборатории Касперского» удалось зафиксировать активность вируса под названием ChewBacca, который распространяется через сети Tor. Сообщается, что использование анонимайзера не является уникальным случаем в работе с вредоносным ПО.

«В последнее время Tor все чаще используют для того, чтобы анонимизировать присутствие пользователя в Сети. Злоумышленники также используют систему в собственных целях, но они все еще довольно медленно задействуют ее в распространении вирусов», - подчеркнули в ЛК.

Главным преимуществом использования Tor является то, что анонимайзер позволяет скрыть расположение C&C-сервера. Правда, существует вероятность того, что о существовании ботнета станет известно весьма скоро, так как его активность влияет на всю сеть.

Троян является исполняемым файлом PE32, распространяемым компилятором Free Pascal 2.7.1 от 22 октября 2013 года, объемом в 5 Мб с Tor 0.2.3.25.

«После выполнения файла запрашивается функция под названием «P$CHEWBACCA$_$TMYAPPLICATION_$__$$_INSTALL», которая в папке автозагрузки отображается как «spoolsv.exe» (например, C:\Документы и установки\Все пользователи\ меню Пуск \Программы\Автозагрузка\) и запрашивает общественный IP-адрес жертвы через общедоступный сервис по адресу http://ekiga.net/ip (он не связан с вредоносным ПО)», - сообщили эксперты по ИБ компании.

После запуска троян записывает нажатия клавиш в журнал «system.log», создаваемом вирусом во временной папке на системе пользователя. Кроме того, троян фиксирует все запускаемые процессы и считывает их данные. Он также содержит два разных шаблона регулярных выражений для извлечения информации.

Более подробно с исследованием «Лаборатории Касперского» можно ознакомиться здесь .

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь