Вирус Alureon собирает данные о командных центрах из публично доступных ресурсов
Сотрудник компании Microsoft обнаружил версию троянской программы Alureon, способную получать информацию о командных серверах ботсети через публично размещенные файлы изображений.
Обнаруженная сотрудниками Microsoft ветка, часто загружаемая ложной программой дефрагментации из семейства FakeSysdef, недавно начала использовать дополнительный компонент. После расшифровки и анализа этого компонента исследователь обнаружил, что он несет в себе криптографический функционал и возможность обработки JPG-файлов. Также файл компонента содержал ряд URL адресов, которые ссылались на web-страницы LiveJournal и WordPress.
«Содержимое каждой страницы оказалось невредоносным и вмещало различные JPG-изображения, размещенные на сервисе imageshack.us», - говорится в сообщении Microsoft. Но самое интересное открытие было совершено после того, как исследователь обнаружил на нескольких изображениях состоящую из 61 символа ASCII строку, которая выглядела как пароль.
«После более пристального исследования я смог определить, что прикрепленный к каждому из JPG-файлов код содержал файл конфигурации… Один из критических секторов файла конфигурации содержал список серверов управления. Цель создания публично размещенной базы данных стала ясна – создание дополнительного слоя защиты», - говорится на блоге Technet. Таким образом, в случае отключения действующих серверов управления вирусом, злоумышленники могут внести изменения в JPG-изображения, размещенные на сервисе imageshack.us и получить контроль над своей ботсетью через другие серверы.
Уведомление Microsoft можно просмотреть здесь.
www.securitylab.ru