Symantec: Обнаружено новое вредоносное ПО для проведения DDoS-атак

SymantecСпециалистами компании Symantec было обнаружено новое вредоносное программное обеспечение для проведения DDoS-атак - Backdoor.Zemra. Данное вредоносное ПО предназначено для проведения DDoS-атак на различные организации с целью вымогательства. Впервые Zemra появился на подпольных форумах в мае 2012 года по цене 100 евро.

Пакет вредоносного ПО имеет панель управления, размещенную на удаленном сервере, и позволяющую отдавать команды подчинённым компьютерам, а также отслеживать количество заражений и ботов, находящихся в распоряжении атакующего.

Zemra предоставляет большее количество функций:

  • 256-разрядное шифрование взаимодействия сервера с клиентом по протоколу DES;
  • Проведение DDoS-атак;
  • Мониторинг устройств;
  • Загрузка и выполнение двоичных файлов;
  • Установка и постоянная проверка наличия заражения;
  • Распространение по USB;
  • Автоматическое обновление;
  • Автоматическая деинсталляция;
  • Сбор информации о системе.


Главной функцией Backdoor.Zemra - осуществление DDoS-атак на удаленный компьютер по выбору пользователя. Изначально, при заражении компьютера, код Backdoor.Zemra связывается с "хозяином" по HTTP и отправляет запрос, передавая информацию об:

  • оборудовании;
  • текущем пользовательском программном агенте;
  • уровне прав пользователя;
  • версии ОС.


Данный запрос обрабатывается скриптом

  • gate.php

извлекающим информацию и размещающим её в базе данных SQL. На основе этой информации отслеживаются готовые к выполнению заданий компьютеры.

Исследование полученного кода позволило определить два типа DDoS-атак, реализуемых этим ботом:

  • HTTP-флуд. При атаке данного типа происходит открытие соединения с произвольным портом атакуемого компьютера (в этом случае имеется специальная возможность закрывать подобное соединение, не дожидаясь окончания таймаута). После чего соединение на стороне клиента закрывается и открывается новое с небольшой паузой.

  • SYN-флуд. Атака этого типа позволяет отправлять множество пакетов вызова на компьютер-мишень одновременно. Задачей подобного типа атак является создание перегрузки сервера при обработке им сетевых запросов.

Обновлено (10.07.2012 16:37)