Специалисты компании «Доктор Веб» смогли получить контроль над вредоносной сетью, основанной троянским приложением BackDoor.Bulknet.739. Заражая компьютер, вирус способен отправлять с него сотни рекламных писем. Больше всего от BackDoor.Bulknet.739 пострадали пользователи из Франции, Италии, Турции, Мексики, США и Тайланда, однако эксперты не исключают, что в дальнейшем от вируса пострадают и жители России.
Впервые троянское приложение попало в поле зрения специалистов осенью 2012 года. Вредоносная утилита была способна объединять зараженные компьютеры в ботнеты, которые в дальнейшем использовались для рассылки спама.
В момент активации троянского приложения в зараженной системе выполняется специальный модуль, предназначенный для распаковки основного загрузчика.
Далее BackDoor.Bulknet.739 загружается в систему при помощи утилиты, которая занесена в антивирусные базы как BackDoor.Bulknet.847. Вредоносная программа при этом задействует довольно нестандартный алгоритм: в теле вируса сохранен зашифрованный список доменов, из которых выбирается один для загрузки модуля рассылки спама.
В ответном сообщении BackDoor.Bulknet.847 получает веб-страницу, разбирает ее программный код и ищет тег, обозначающий вставку картинки. Главный компонент BackDoor.Bulknet.739 храниться в данном изображении в зашифрованном виде и используется для формирования массовой рассылки через электронную почту.
Список адресов, шаблон рассылаемых писем и файл с параметрами конфигурации вирус также получает с удаленного сервера. Связь со злоумышленниками троянское приложение осуществляет при помощи бинарного протокола. Среди поддерживаемых инструкций присутствую команды обновления, загрузки нового шаблона письма, списка электронных адресов, а также команда остановки рассылки. При возникновении сбоя в процессе работы троянская программа формирует отчет и отправляет его владельцам.
Специалистам удалось перехватить один из серверов, используемых для управления вредоносной сетью и собрать определенную статистику. Например, стало известно, что в начале апреля к серверу управления было подключено порядка 7 тысяч ботов.
В настоящее время ботнет BackDoor.Bulknet.739 продолжает стабильно расширяться. Наибольшее распространение вирус получил в Турции, Франции, США, Италии, Тайланде и Мексике.
13 апреля 2013
