Файловый вирус Win32.Sector
Как сообщила компания «Доктор Web», ее аналитики исследовали файловый вирус Win32.Sector, с использованием которого злоумышленники создали обширный ботнет, и оценили текущие масштабы заражения. Поскольку файловые вирусы среди вредоносных программ встречаются не слишком часто, это ПО представляет для специалистов по ИБ особый интерес.
Вредоносная программа Win32.Sector известна с 2008 г. и представляет собой сложный полиморфный вирус, способный распространяться самостоятельно (без участия пользователей) и заражать файловые объекты. Его основная функция – загрузка из P2P-сети и запуск на зараженной машине исполняемых файлов. Программа способна встраиваться в запущенные на инфицированном компьютере процессы, а также может останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков. Вирус способен инфицировать файловые объекты на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлы, хранящиеся в общедоступных сетевых папках. На сегодняшний день известно несколько модификаций Win32.Sector, различающихся реализацией протокола обмена данными в P2P-сети и другими структурными особенностями.
В силу своей архитектуры Win32.Sector не имеет управляющих серверов, вместо этого он использует соединение с другими ботами, работающими на зараженных машинах. Вирус определяет, имеет ли компьютер внешний IP-адрес или работает в сети, использующей NAT. После запуска на зараженном компьютере Win32.Sector использует начальный список IP-адресов других ботов, с которыми устанавливает соединение. Если эта операция завершилась успешно, вирус выполняет следующие команды: запрос файла конфигурации с URL для загрузки файлов (по протоколу UDP); запрос плагинов (по протоколу TCP); проверка наличия NAT – если он отсутствует, бот получает уникальный идентификационный номер ID (протокол UDP); получение IP-адреса другой инфицированной машины для установки соединения (протокол UDP).
Далее работающий на зараженной машине с помощью команды проверки наличия NAT вирус начинает выполнять функции маршрутизатора: с ним соединяются другие боты, действующие в сетях с NAT и не имеющие внешнего IP-адреса. Последняя команда позволяет получить список IP-адресов других инфицированных компьютеров. С помощью этих двух команд специалисты «Доктор Web» смогли подсчитать общее количество инфицированных узлов ботнета и оценить масштабы распространения угрозы.
По информации на 20 мая в ботнете Win32.Sector насчитывалось 1197739 уникальных ботов, из них 109783 имеют внешний IP-адрес и могут выступать в роли маршрутизаторов для других зараженных узлов. В среднем ежесуточно активность проявляет около 60000 инфицированных компьютеров.
С точки зрения географии больше всего зараженных вирусом Win32.Sector компьютеров расположено на территории Тайваня – 212401. На втором месте по числу заражений Египет (108770), на третьем – Индия (106249). В России зафиксировано 15600 инфицированных компьютеров.
В настоящее время с использованием бот-сети Win32.Sector распространяется несколько вредоносных программ:
- Trojan.PWS.Stealer.1630 – программа для хищения паролей и другой конфиденциальной информации;
- Trojan.Mssmsgs.4048 – плагин для рассылки спама;
- Trojan.DownLoader8.17844 – http- и socks5-прокси;
- Trojan.DownLoader10.49375 – http- и socks5-прокси;
- Trojan.Siggen6.11882 – DNS-туннель (53 udp порт), ТСР-туннель (80 порт);
- Trojan.Rbrute – троянец для взлома Wi-Fi-роутеров;
- Trojan.Proxy.26841– туннель для передачи http-трафика на заданные узлы.
Все перечисленные угрозы, включая сам файловый вирус Win32.Sector, детектируются и удаляются антивирусными программами Dr.Web.