И сново P2P-ботнет Skynet


AkamaiТри месяца назад специалистами по безопасности из компании G Data SecurityLabs был обнаружен P2P-ботнет, работающий через Tor. Владелец этого ботнета - студент, рассказавший в анонимном интервью на Reddit о своем творении. Эта в своём роде уникальная разработка наконец-то привлекла внимание серьёзных исследователей, которые получили в своём распоряжение клиентский модуль и изучили его функционал.

Недавно исследователи из компании Rapid7 подтвердили слова владельца ботнета о способах монетизации через майнинг биткоинов. Он также признавался в продаже банковской, биллинговой информации и данных кредитных карт с заражённых машин, проведении DDoS по заказу.

TOR Network web

Владелец ботнета самостоятельно распространяет трояны через Usenet, хотя подумывает о покупке уже залитых машин. Тем не менее, образец клиентской программы (15 МБ) был найден на одной из файлопомоек Usenet с пиратским контентом, до сих использующейся некоторыми американскими пользователями. Образец продемонстрировал довольно низкий уровень обнаружения по VirusTotal: 7/42.

Программа состоит:

  • из простого IRC-бота, работающего через Tor;
  • бота ZeuS;
  • Tor-клиента для Windows;
  • биткоин-майнера CGMiner с необходимой библиотекой OpenCL.dll;
  • большого количества мусорных данных для раздутия объёма файла;
  • обфусцированного кода.


После установки в системе клиент запускает процесс

  • IEXPLORE.EXE или svchost.exe

и прописывается в реестре Windows, в разделе

  • Run

Task Manager

Студент спроектировал ботнет самостоятельно, имея за плечами два года опыта в программировании. Он взял утёкший исходный код ZeuS, исправил баги, добавил новые фичи, добавил модули IRC и майнинга биткоинов. Своей разработке автор дал название Skynet.

Cloud Computing Dashboard


Обновлено (13.01.2013 03:06)