Ботнет Grum. Возвращение


Trustwave-SpuderLabsЭкспертами по безопасности компании Trustwave Spider Labs было обнаружено несколько образцов ботнета Grum и пять новых C&C-серверов, связанных с ботнетом:

  • 188.93.233.2
  • 185.4.227.170
  • 198.144.156.187
  • 80.86.253.3
  • 84.22.104.163

Ботнет Grum - третий по величине из ботнетов во всем мире, который был обезврежен в июле прошлого года. С помощью данного ботнета рассылалось 30% всего спама. Судя по найденным образцам - создатели решили воссоздать его снова.

Также исследователи обнаружили набор команд, выполняемых при связи ботнета с серверами:

  • GET /spm/s_get_host.php?ver=[bot version]
    s_get_host.php – получение IP-адреса зараженного компьютера и его hostname.

  • GET /spm/s_alive.php?id=[bot machineid]&tick=[system tick]&ver=[bot version]&smtp=[ok|bad]
    s_alive.php – сообщение серверу данных о боте (ID, версия, состояние SMTP-протокола)

  • GET /spm/s_task.php?id=[bot machine id]&tid=xxxxx
    s_task.php – получение задачи и образца спама.

  • GET /spm/s_report.php?task=[task id]&id=[bot machine id]&errors[xxx]=xx
    s_report.php – сообщение C&C-серверу информации об ошибках.


Эксперты выяснили, что темой рассылаемых ботнетом спам-сообщений, является фармацевтика. В сообщениях вместе с текстом находились ссылки, перенаправляющие пользователей на сайты, продающие нелегальные лекарственные препараты.


Обновлено (27.03.2013 15:17)