Trojan.PWS.Panda.2395 - или пиринговая сеть с вредоносным ПО


Компания "Доктор Веб" информирует пользователей о распространении с помощью пиринговой сети Trojan.PWS.Panda.2395 нескольких вредоносных программ. Данные программы способны осуществлять массированные DDoS-атаки и рассылать спам.

Инфицирование компьютера жертвы осуществляется при помощи трояна Trojan.PWS.Panda.2395. На первом этапе заражения при помощи поддерживаемой трояном пиринговой сети на ПК жертвы скачивается исполняемый файл, в котором зашифрован вредоносный модуль. После успешной расшифровки он запускает еще один модуль, считывающий в память компьютера образ другого вредоносного приложения из представителей семейства Trojan.DownLoader.

Vredonosnii modul Trojan

Данная программа сохраняется в папку учетной записи пользователя в виде исполняемого файла со случайным именем, после чего модифицирует реестр Windows, с целью автоматического запуска одновременно с загрузкой операционной системы.

В теле данной модификации Trojan.DownLoader имеется зашифрованный список доменных имен, к которым загрузчик обращается с запросом по протоколу HTTPS. В ответ троян получает главную веб-страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения

  • <img src="data:image/jpeg;base64 … >


В качестве аргумента этого тега такие веб-страницы содержат зашифрованный вредоносный файл, который извлекается из html-документа, расшифровывается и в зависимости от полученной команды либо пытается встроиться в предварительно запущенный трояном процесс svchost.exe, либо сохраняется во временную папку. Непосредственно из тела загрузчика расшифровываются DDoS-модуль и список адресов для последующей атаки, затем образ данной вредоносной программы настраивается непосредственно в его процессе.

DDoS-modul v procese sistemi

После успешной загрузки DDoS-модуль создает до восьми независимых потоков, в которых начинает непрерывно отправлять POST-запросы к серверам из хранящегося в трояне-загрузчике списка. Также он пытается установить соединение с рядом серверов по протоколу SMTP, после чего отсылает на них случайные данные. Всего список содержит 200 выбранных в качестве цели для DDoS-атак сайтов, среди которых имеются столь известные ресурсы, как:

  • портал love.com, принадлежащий корпорации America On-Line;
  • сайты нескольких крупных американских университетов;
  • портал msn.com;
  • netscape.com и другие.


Из списка доменов для DDoS-атак он по специальному алгоритму выбирает один, отправляет на него HTTP-запрос и получает в ответ веб-страницу. Среди содержимого этой веб-страницы троян также пытается отыскать тег вставки изображения

  • <img src="data:image ...>

в качестве аргумента которого записан массив данных, зашифрованных с использованием алгоритма base-64.

Massiv dannih zashifrovannii s base-64

После расшифровки, извлеченные из веб-страницы данные превращаются в файл, маскирующийся под изображение в формате JPEG. Этот файл также хранит в себе контейнер, содержимое которого сжато архиватором gzip. Наконец, из архива извлекается вредоносная программа BackDoor.Bulknet.739 - троян-бэкдор, обладающий функционалом для массовой рассылки спама.