p2p функционал в трояне Zeus усложняет уничтожение ботнетов

Новый штамм троянской программы Zeus наделен p2p функционалом, что позволяет операторам ботнета отправлять обновления и команды зомби-компьютерам без соединения с командным сервером. Этот вид вредоносной программы, известной под названием Murofet, помешает специалистам в области информационной безопасности и правоохранительным органам обезвреживать ботнеты путем отключения их командных серверов. Исследователь, который предпочел остаться неназванным, заявил о том, что ему удалось обнаружить компьютеры с 100 000 уникальных IP-адресов, которые были заражены новым штаммом троянской программы.
Зомби-компьютеры под управлением Murofet используют исходный список IP-адресов. Они отправляют UDP-пакеты по большому количеству портов и ждут, пока другие боты ответят с дополнительных адресов, которые также являются частью p2p сети.


Если удаленный узел работает с более новой версией программного обеспечения, он рассылает обновления на другие машины, используя TCP-соединение. P2p функционал был добавлен примерно в то же время, когда вредоносная программа стала работать по принципу генерации доменов, который позволял ботам в определенное время подключаться к специально созданным доменным именам.

Новая структура Murofet позволяет ему не использовать постоянные URL-адреса для загрузки файлов обновления и конфигурации, что усложняет работу ИТ-специалистов. Однако вредоносная программа все еще остается уязвимой из-за того, что она зависит от центрального домена и работает по централизованному принципу генерации доменов в случае подключения к главному серверу.

www.securitylab.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: