Исследователи обнаружили пять новых C&C-серверов, связанных с ботнетом.
Исследователи Trustwave Spider Labs сообщили , что создатели одного из крупнейших ботнетов в мире под названием Grum, обезвреженного в прошлом году, решили воссоздать его снова. Эксперты заявили, что обнаружили несколько образцов Grum и пять новых C&C-серверов, с которыми связан ботнет: 188.93.233.2, 185.4.227.170, 198.144.156.187, 80.86.253.3 и 84.22.104.163.
Исследователи обнаружили набор команд, выполняемых при связи ботнета с серверами:
1. GET /spm/s_get_host.php?ver=[bot version]
s_get_host.php – получение IP-адреса зараженного компьютера и его hostname.
2. GET /spm/s_alive.php?id=[bot machineid]&tick=[system tick]&ver=[bot version]&smtp=[ok|bad]
s_alive.php – сообщение серверу данных о боте (ID, версия, состояние SMTP-протокола)
3. GET /spm/s_task.php?id=[bot machine id]&tid=xxxxx
s_task.php – получение задачи и образца спама.
4. GET /spm/s_report.php?task=[task id]&id=[bot machine id]&errors[xxx]=xx
s_report.php – сообщение C&C-серверу информации об ошибках.
По словам экспертов, тема рассылаемых ботнетом спам-сообщений – фармацевтика. Сообщения содержат ссылки, которые приводят пользователей на сайты, продающие нелегальные лекарственные препараты. Исследователи опубликовали список русских доменов, связанных с спам-кампанией.
Напомним, что ботнет Grum являлся третьим по величине в мире. Так, 30% всего спама рассылала именно эта ботсеть, ликвидированная в июле 2012 года.
Наш канал — питательная среда для вашего интеллекта