BackDoor.DarkNess

BackDoor.DarkNess — бэкдор, на основе которого любой желающий может построить бот-сеть, способную осуществить DDoS-атаку на выбранную цель.
BackDoor.DarkNess - это многопрофильный инструмент для реализации различных функций и стоимостью в несколько тысяч долларов.

Поясним. BackDoor.DarkNess.25 (одна из модификаций BackDoor.DarkNess) умеет красть пользовательские данные из таких популярных программ, как Total Commander (параметры доступа к FTP), FlashFXP, FileZilla, WS_FTP, QIP, CuteFTP, The Bat!, однако основное назначение бэкдора — реализация DDoS-атак по команде с удаленного сервера.

BackDoor.DarkNess написан на языке Delphi, административная часть реализована на языке PHP. А страница входа в систему управления бот-сетью выглядит так:

А так выглядит панель администратора бот-сети изнутри:

А вот реальная панель управления одной из активно действующих бот-сетей. Ее владельцы даже не догадываются, что за ними внимательно следят…

Бэкдор запускается в операционной системе в качестве сервиса и отключает стандартный брандмауэр Windows. После этого он связывается с удаленным командным центром и получает от него управляющую директиву содержащую приказ на скачивание исполняемого файла либо начало DDoS-атаки на указанный злоумышленниками сервер. Атака выполняется методом отправки через заданный временной интервал GET-запросов на определенный URL в несколько потоков (числом до 100). Также возможно выполнение многопоточных атак с использованием протокола ICMP, либо атак на какой-либо выбранный порт удаленного узла.

Конструктивные недостатки данного бэкдора:

  • в процессе своей работы он создает значительную нагрузку на используемый инфицированной машиной интернет-канал;
  • не маскирует свой процесс в операционной системе, вследствие чего относительно легко идентифицируется антивирусным ПО и удаляется.


За последние четыре месяца специалистами компании "Доктор Веб" было зафиксировано 49 бот-сетей, построенных с использованием BackDoor.DarkNess. Порядка десяти из них действуют до сих пор. Всего за этот период ботам было передано 329 уникальных команд, большинство из которых инициировало DDoS-атаки. Среди жертв можно отметить:

  • сайт "Новой Газеты";
  • журнала "Катера и яхты";
  • несколько эскорт-агентств и интернет-магазинов, торгующих поддельными копиями швейцарских часов.


Среди целей DDoS-атак значительное число составляют также серверы онлайн-игр.

Можно предположить, что благодаря широкой распространенности этого бэкдора (а также проникновению этой программы в свободный доступ) количество бот-сетей и их активность в ближайшем будущем вряд ли уменьшатся. Несмотря на то, что BackDoor.DarkNess известен в течение длительного времени, он все еще пользуется определенной популярностью. Можно также ожидать появления новых модификаций BackDoor.DarkNess, несущих дополнительную функциональную нагрузку помимо реализации основной функции DDoS-бота.