Злоумышленники восстанавливают ботнет Srizbi


F-SecureВ настоящее время злоумышленники активно пытаются возобновить работу ботнета Srizbi, применив новое вредоносное ПО.

Стоит напомнить, что первые попытки восстановления Srizbi были зафиксированы еще в апреле 2014 года. После того, как эксперты провели более подробный анализ нового ботнета, оказалось, что у него много общего со спамботом Srizbi. Однако, несмотря на все схожие элементы, специалисты F-Secure присвоили вредоносу название – Pitou, так как его код был написан с нуля.

Согласно данным анализа данной компании, Pitou задействует дроппер, который проверяет версию установленной операционной системы перед выбором определенного модуля полезной нагрузки.

Если вредонос установил, что на ПК установлена:

  • Windows XP, то на систему устанавливается работающий в режиме ядра драйвер, идентифицирующийся как Uroburos и Turla.
  • Windows 7 или более новая версия платформы, то буткит устанавливается посредством инфицирования главной загрузочной записи (MBR). Затем при каждом запуске операционной системы буткит проверяет выполняемость вредоносного кода.


Сам дроппер распространяется через взломанные сайты, используя в качестве загрузчиков троянов. В период с мая по август 2014 года Pitou удалось инфицировать компьютеры в

  • Бразилии;
  • Перу;
  • Египте;
  • Вьетнаме;
  • Венесуэле;
  • США;
  • Европы.

Обновлено (29.08.2014 17:53)