BackDoor.Bulknet.739 - ботнет, заражающий по 100 компьютеров в час


BackDoor.Bulknet.739 - вредоносная программа, в среднем заражающая по 100 ПК ежечасно, и рассчитанная, в основном, на зарубежных пользователей (Италия, Франция, Турция, США, Мексика и Тайланд). Это не значит, что российских пользователей этот вредонос может обойти стороной.

Основное назначение трояна - объединение компьютеров в ботнеты и осуществление массовой рассылки спама.

В момент запуска трояна на инфицированном компьютере выполняется специальный модуль, распаковывающий трояна-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием вредоносного приложения - BackDoor.Bulknet.847.

BackDoor.Bulknet.847 обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для осуществления массовых рассылок сообщений по каналам электронной почты.

Все необходимые параметры, такие как адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл, BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со своими "хозяевами" BackDoor.Bulknet.739 использует бинарный протокол, с помощью которого он способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троян может отправить злоумышленникам специальным образом сформированный отчет.

Binarnii protokol BackDoor.Bulknet

Перехваченный специалистами компании "Доктор Веб" один из управляющих серверов ботнета BackDoor.Bulknet.739, передал им ряд статистических данных. Например, такие сведения: по состоянию на 5 апреля 2013 года к управляющему серверу подключилось около 7 000 ботов.

Dinamika rosta botneta BackDoorBulknet739

Ботнет BackDoor.Bulknet.739 продолжает развиваться достаточно быстро и сейчас. В среднем ежечасно фиксируется заражение порядка 100 компьютеров. Наиболее широкое распространение троянBackDoor.Bulknet.739 получил на территории:

  • Италии;
  • Франции;
  • Турции;
  • США;
  • Мексики;
  • Тайланда.


Наименьшее количество инфицированных рабочих станций зафиксировано в:

  • Австралии;
  • России.


Распределение бот-сети BackDoor.Bulknet.739 по странам и континентам

Raspred botseti BackDoor.Bulknet.739 po stranam i kontinentam

Распределение ботнета BackDoor.Bulknet.739 по версиям ОС

Raspred botneta BackDoor.Bulknet.739 po versiyam OS