Ботнетът BlackEnergy отново е активен

Наблюдава се активно разпространение на поредния троянец от семейството BackDoor.BlackEnergy, алармира компанията за сигурност Доктор Уеб. Миналото лято се появиха информации, че са ликвидирани основните управляващи сървъри на бот мрежата на база този троянец, но сега се е активирала нова модификация на заплахата.

BackDoor.BlackEnergy е сложна многокомпонентна троянска програма, предназначена за разпространение на спам. С нейна помощ кибер престъпниците успяха да създадат една от най-големите бот мрежи в света за разпращане на нежелани съобщения, която в пика си достигна 18 милиарда писма на ден.

Троянците от семейството BackDoor.BlackEnergy използват модули и конфигурационен файл във формат xml, получаван от управляващия сървър. Новата версия BackDoor.BlackEnergy.36 е дело на същите лица, които използваха предишните модификации на програмата, твърди Доктор Уеб. Доказателство за това е фактът, че BackDoor.BlackEnergy.36 използва същия кодиращ ключ, който се прилагаше и в бот мрежите  BlackEnergy, ликвидирани през лятото на 2012 г.

BackDoor.BlackEnergy.36 има две съществени различия спрямо предходните версии. Конфигурационният файл на троянеца се съхранява в кодиран вид в отделна секция на динамичната библиотека, която на свой ред се намира в една от секциите на троянеца и при пускането му се вгражда в процесите svchost.exe или explorer.exe.  Освен това е променен мрежовият протокол, с помощта на който BackDoor.BlackEnergy.36 обменя данни с командния център.

Към момента Доктор Уеб е засякла няколко управляващи сървъра на BackDoor.BlackEnergy.36. Чрез тях кибер престъпниците се опитват да изградят нов ботнет за разпространение на спам.

Коментар