Всего экспертам удалось зафиксировать связь вируса с 72 C&C-серверами, 27 из которых уже ликвидированы.
Эксперты «Лаборатории Касперского» вновь зафиксировали активность вируса IceFog. Если в сентябре прошлого года жертвами вредоносного ПО становились пользователи из Южной Кореи и Японии, то сейчас вирус направлен на компании в США.
Как сообщают специалисты антивирусной компании Костин Раю (Costin Raiu), VitalyK и Игорь Суменков (Igor Soumenkov), им удалось заметить возобновившуюся активность вредоноса благодаря мониторингу за ранее замороженным C&C-сервером. «Во время мониторинга мы обнаружили интересный тип соединения, который выглядел как Java-версия Icefog», - следует из сообщения в официальном блоге компании.
Эксперты сообщают, что новая версия вируса действует по такому же принципу, как и предыдущая: «Модуль записывает параметры реестра для того, чтобы убедиться, что Windows будет его автоматически запускать. Стоит отметить, что модуль не копируется в ту локацию».
После этого модуль эксплуатирует бэкдор, благодаря которому происходит общение с основным C&C-сервером. При этом эксперты утверждают, что всего им удалось зафиксировать соединение вируса с 72 подконтрольными злоумышленникам серверами, 27 из которых уже были ликвидированы.
«В ходе операции по ликвидации мы обнаружили восемь IP-адресов для трех уникальных жертв Javafog, все расположены на территории США. Основываясь на IP-адресе, нам удалось установить, что одна из жертв является очень большой независимой корпораций, работающей с нефтью и газом и ведущей бизнес во многих других странах», - сообщается в блоге. Однако эксперты «ЛК» не стали называть пострадавшую компанию.
Как утверждают специалисты, новую версию гораздо сложнее отследить, нежели атаки, осуществляемые с использованием оригинального IceFog: «Java-вирус не настолько популярен, как вирус Windows Preinstallation Environment (PE), и его сложнее заметить».
5778 К? Пф! У нас градус знаний зашкаливает!