BackDoor.BlackEnergy.18 - новая разновидность модульных троянов


BackDoor.BlackEnergy.18 – бэкдор, распространяющийся при помощи сообщений электронной почты с вложенным документом Microsoft Word. Эти письма адресованы лицам из украинских государственных ведомств, таких как Министерство иностранных дел Украины и посольство Украины в Соединенных Штатах Америки. Инфицированные BackDoor.BlackEnergy компьютеры могут использоваться злоумышленниками для:

  • осуществления массовых спам-рассылок;
  • организации DDoS-атак;
  • других противоправных действий.

Многокомпонентный бэкдор BlackEnergy ранее использовался для создания одного из самых крупных спам-ботнетов. В пик активности на его долю приходилось до 18 млрд. сообщений в день. В июле 2012 года было произведено отключение нескольких управляющих серверов ботнета, контролировавших значительное число инфицированных машин. Это привело к заметному снижению общемирового объема спам-трафика. Однако полностью вредоносная деятельность BlackEnergy не была прекращена, т. к. активными оставались менее крупные командные центры бот-сети. Создатели сети зомби-компьютеров не оставляют попыток восстановить былую мощность ботнета, о чем свидетельствует появление новой версии трояна.

Innocence of Muslims

В качестве "горячей темы" используется название скандального фильма "Невинность мусульман", вызвавший волну протестов по всему миру и уже успевший привести к человеческим жертвам.

Вложенный в сообщение документ, детектируемый антивирусным ПО Dr.Web как Exploit.CVE2012-0158.14, содержит код, который эксплуатирует уязвимость одного из компонентов ActiveX. Этот компонент применяется приложением Word и некоторыми другими продуктами Microsoft для Windows. При попытке открытия документа во временный каталог пользователя сохраняются два файла:

  • "WinWord.exe"
  • "Невинность мусульман.doc".


Первый файл является дроппером трояна BackDoor.BlackEnergy.18 и служит для установки его драйвера в системный каталог.

После запуска дроппера выполняется открытие второго сохраненного файла, представляющего собой обычный документ Microsoft Word. Файл содержит исходную информацию, которую жертва и ожидала получить. Таким образом, снижается риск возникновения каких-либо подозрений со стороны пользователя.

Nevinnost musulman

Бэкдоры семейства BackDoor.BlackEnergy - это модульные трояны, выполняющие вредоносную деятельность при помощи отдельно загружаемых плагинов. Новая модификация трояна для своей работы использует специальный конфигурационный файл в формате xml, получаемый с управляющего сервера, расположенного по адресу

  • 194.28.172.58


Следуя этому файлу, BackDoor.BlackEnergy.18 может выполнить загрузку следующих модулей:

BackDoor.BlackEnergy.18 tabl 1

Помимо модулей для операционных систем семейства Windows, были обнаружены плагины, представляющие собой исполняемые ELF-файлы, работающие в ОС Linux на базе процессоров Intel c 32-битной системной логикой:

BackDoor.BlackEnergy.18 tabl 2

Для плагинов, скомпилированных под ОС Linux, в конфигурационном файле указана первая версия и отсутствует информация об управляющих серверах. Вполне вероятно, что включение их в список загрузки, предназначенный для Windows-версии трояна, является ошибкой его авторов. Предполагается, что Linux-версия этой вредоносной программы распространяется при помощи специального дроппера.


Обновлено (02.09.2016 20:39)