Троянец с бот-сетью для рассылки спама

Компания «Доктор Веб» сообщила о получении контроля над бот-сетью, которая формировалась на основе вредоносной программы BackDoor.Bulknet.739, в среднем заражающей по 100 ПК ежечасно. Среди жертв BackDoor.Bulknet.739 в основном зарубежные пользователи (Италия, Франция, Турция, США, Мексика и Тайланд), однако россияне также могут попасть под его прицел.

BackDoor.Bulknet.739 впервые привлек внимание аналитиков компании в октябре 2012 г.: он оказался способен объединять компьютеры в ботнеты, позволяя осуществлять массовую рассылку спама. В момент запуска троянца на компьютере выполняется специальный модуль, распаковывающий троянца-загрузчика, после чего BackDoor.Bulknet.739 скачивается на инфицированную машину с использованием приложения, детектируемого как BackDoor.Bulknet.847. Данная вредоносная программа использует оригинальный алгоритм: она обращается к хранящемуся у нее зашифрованному списку доменных имен и выбирает один из них для загрузки спам-модуля. В ответ BackDoor.Bulknet.847 получает главную страницу располагающегося по данному адресу сайта и разбирает ее HTML-структуру в поисках тега вставки изображения. Основной модуль BackDoor.Bulknet.739 хранится внутри такого изображения в зашифрованном виде и предназначен для массовых рассылок сообщений по каналам электронной почты.

Адреса для рассылки спама, файл с шаблоном отправляемых писем и конфигурационный файл BackDoor.Bulknet.739 получает с удаленного сервера. Для связи со злоумышленниками он использует бинарный протокол и способен выполнять набор получаемых от злоумышленников команд, в частности, команду на обновление, загрузку новых образцов писем, списка адресов для отправки спама, либо директиву остановки рассылки. В случае собственного отказа троянец может отправить злоумышленникам специальным образом сформированный отчет.

Специалисты «Доктор Веб» перехватили один из управляющих серверов ботнета BackDoor.Bulknet.739 и собрали ряд статистических данных. Так, по состоянию на 5 апреля 2013 г. к управляющему серверу подключилось около 7000 ботов. В настоящий момент ботнет продолжает расти достаточно быстрыми темпами — в среднем ежечасно фиксируется заражение порядка 100 компьютеров. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Тайланда. Наименьшее количество инфицированных рабочих станций зафиксировано в Австралии и России.