14 февраля 2012 года
В течение последнего времени в вирусную лабораторию компании «Доктор Веб» поступил целый «выводок» троянцев семейства Volk, первым из которых стал BackDoor.Volk.1. Любопытно, что эта вредоносная программа написана на языке PHP, применяющемся в основном для создания скриптов и приложений, работающих на стороне сервера, и конвертирована в исполняемый код при помощи утилиты php2exe. Троянец модифицирует на зараженной машине файл hosts, отвечающий за сопоставление DNS-имен IP-адресам, а также способен загружать с удаленного узла и запускать на инфицированном ПК различные приложения.
Троянцы BackDoor.Volk способны объединяться в ботнеты, управляемые посредством специальной административной панели. В распоряжении аналитиков «Доктор Веб» имеется дамп базы данных управляющего сервера одного из ботнетов, построенных на базе BackDoor.Volk. Судя по записям в данной базе, в сети присутствует порядка 100 ботов, а география инфицированных машин чрезвычайно широка. Более всего заражений приходится на долю Чили (31%) и Уругвая (13%), далее следуют Перу (8%), Аргентина (4%) и Испания (3%). Меньше всего зараженных ПК расположено в США и Индии (по 2%), а также в Канаде, Колумбии и Бразилии (по 1%). Еще 34% инфицированных компьютеров территориально располагается в государстве под названием «Unknown» — в это число может входить и Россия.
BackDoor.Volk.2 в отличие от своего предшественника написан на Visual Basic и при обращении к удаленным узлам для передачи запросов использует метод POST, а не GET. Помимо загрузки и запуска приложений, а также подмены файла hosts, эта вредоносная программа обладает функционалом для проведения DDoS-атак и способна красть пароли от FTP-клиентов, установленных на инфицированном компьютере. Следует отметить, что модуль обмена данными с командным сервером в троянце BackDoor.Volk.2 явно позаимствован у другой вредоносной программы — BackDoor.Herpes, исходные коды которой появились в свободном доступе некоторое время назад.
BackDoor.Volk.3 и BackDoor.Volk.4 также написаны на Visual Basic и являются модификациями BackDoor.Volk.2: основные изменения касаются методов обмена информацией с управляющим сервером. Функционал этих троянцев в целом схож. Главная опасность для пользователя заключается в том, что благодаря возможной подмене файла hosts потенциальная жертва может быть обманом завлечена на созданные злоумышленниками фишинговые сайты, при этом способность троянца красть пароли от FTP-клиентов открывает перед вирусописателями возможность получения несанкционированного доступа к различным веб-сайтам. Сигнатуры, соответствующие всем известным на сегодняшний день модификациям BackDoor.Volk, добавлены в вирусные базы Dr.Web.
НОВОЕ НА САЙТЕ25 марта 2024 годы
Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web
22 марта 2024 года
Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.
С мо... Антивирус Dr.Web
6 марта 2024 года