27 апреля 2012 года
Напомним, ровно троянец
В предстоящем загружаемым на диск вредным приложением применяется неудовлетворительно своего рода управляющих серверов. 1-ая категория командных центров продает опции перехвата поискового трафика, перенаправления юзера на контролируемые злодеями веб-сайты в процессе веб-серфинга так ровно некие остальные действия. 2-ая группа разрешает подавать ботам всевозможные команды, реализующие на инфицированной машине опции бэкдора. Специалистам фирмы «Доктор Веб» получилось закусить применяемые полезной нагрузкой троянца
Первая категория доменов управляющих серверов генерируется троянцем на базе заложенного в его конфигурационных заданных списка, в дополнение к ним создается вновь одинешенек список доменов, имена коих зависят от текущей даты. При конкретно в данном сформированное вредной программой имя домена второго уровня одинаковое, в то час а как только же в качестве домена верхнего уровня могут быть использованы всевозможные варианты, подобные а как только же .org, .com, .co.uk, .cn, .in. баста управляющие серверы опрашиваются троянцем по очереди в порядке составленного списка, при конкретно в данном командному центру передается GET-запрос /owncheck/ либо /scheck/, содержащий в фон useragent смысл UUID инфицированного «мака». коли в отзвук троянец приобретет подписанное смысл SHA1 от имени домена, то таковой домен полно значиться доверенным так ровно в предстоящем полно употребляться в качестве командного сервера. 1-ые домены из этой категории были удачно перехвачены корпорацией «Доктор Веб» начиная с 12 апреля 2012 года.
После того а как только же вредная программа измерит домен из первой категории, наступает разыскивание доменов второго типа. На базе заложенного в конфигурационных заданных перечня бот опрашивает пробор доменов управляющих серверов, передавая им же GET-запрос /auupdate/, содержащий в фон useragent доскональную информацию об инфицированной системе. образчик того запроса показан ниже:
20|i386|9.8.0|4DE360BE-E79E-5AD6-91CF-D943761B3785|6bbbbfb49b1659ebaaadffa20215bfc787577bd8|001|007|0
Где:
1 — версия бота
2 — зодчество (hw.machine)
3 — версия ядра (kern.osrelease)
4 — Hardware UUID
5 — SHA1 от файла полезной нагрузки
6 — битовая личина наличия добавочных браузеров
7 — константа
8 — значение, указывающее на привилегии, с которыми запущен бот: 0 — рядовой пользователь, 1 — привилегированный пользователь.
Если управляющий сервер перестать возвратит классический ответ, троянец создаёт на базе текущей даты строку, коию пользуется в качестве хеш-тега для розыска по адресу http://mobile.twitter.com/searches?q=#<строка>. Например, для даты 13.04.2012 некие версии троянца генерируют строку образа «rgdgkpshxeoa» (у прочих версий бота строка помножать отличаться). коли в Twitter удается оказать сообщение, содержащее метки bumpbegin так ровно endbump, среди которыми содержится адресок управляющего сервера, он полно применен в качестве имени домена. талия доменов этой категории корпорация «Доктор Веб» основания 13 апреля, но уже на надлежащий день, в субботу 14 апреля, зарегистрированная специалистами «Доктор Веб» учетная запись в Twitter была заблокирована.
По этим на 13 апреля 2012 года, на управляющие домены первой группы в направление дня и ночи поступило 30 549 запросов с оригинальными UUID, на домены 2-ой категории — 28 284 запросов с оригинальными UUID за подобный интервал времени. массовое численность запросов с оригинальными UUID, отправленных на управляющие серверы полезной нагрузки ботнета
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года