Trend Micro: Возвращение ботнета Andromeda


Trend Micro SecurityИсследователями по безопасности компании Trend Micro была зафиксирована спам-рассылка, в которой присутствовали следы ботнета Andromeda.

Ботнет Andromeda впервые был обнаружен еще в 2011 году. Он включал в себя несколько различных модулей, среди которых кейлоггеры, руткиты, а также прокси-модули SOCKS4.

Ботнет Andromeda ведет себя на компьютере жертвы, как и обычный бэкдор и вирус, т.е., может загружать и исполнять на компьютере жертвы различные файлы, а также обновлять себя или удалять в случае необходимости.

Различные версии приложений, используемых ботсетью Andromeda, хакеры продают в сети Интернет за $300-500, а наибольшее количество инфицированных компьютеров было обнаружено в Австралии, Турции и Германии.

По данным экспертов, новая версия Andromeda распространяется при помощи съемных носителей. Вместо простого распространения своих копий, вирус разделяет компоненты файлов, усложняя анализ и обнаружение.

Кроме того, обнаруженный исследователями образец вируса обладает способностью открывать и прослушивать TCP-порт 8000 и запускать командную строку (cmd.exe). После подключения к удаленной системе, злоумышленник может выполнить произвольные команды и получить полный доступ к инфицированному компьютеру.

Кроме всего прочего, Andromeda может использовать собственные API, внедряемые в обычные процессы. Подобная техника ранее была замечена в поведении вирусов DUQU и KULUOZ.


Обновлено (14.03.2013 17:15)